12° Informe VirusAlerts (Spyware/Troyanos)

Cuidado en Mexico con PROFECO:

El informe de PandaLabs y ArceoLabs de esta semana trata de sobre el gusano Oscarbot.UG, el troyano Spammer.AJF, el Spyware SpyGas.EXE y una serie de aplicaciones P2P utilizadas para distribuir el adware Lop.

SpyGas.exe es un Spyware que se transmite por e-mail al usuario con el asunto "Gasolineras Fraudulentas de México", insitando al usuario a abrir el mensaje, para que se descargue un supuesto Software actualizado en el que la "Profeco" muestra información sobre estas.

El mensaje contiene un link al archivo ejecutable, mismo que no parece NADA sospechoso ya que este cuenta con un icono que contiene el "Águila de Mexico" y por nombre "gasolineras_update" este archivo al ejecutarlo mostrará toda la información, sin embargo mientras el usuario esta entretenido revisando la información mostrada por el .exe este aprovecha para conectarse a un server y descargar un software espía que se encarga de modificar los "host" de Windows, para de esta manera encontrar puertas y entrar en el sistema.

Oscarbot.UG es un gusano con características de backdoor, que se propaga a través de la aplicación de mensajería instantánea de AOL (AOL Instant Messenger - AIM). Una vez ejecutado se copia tanto en el sistema como en las llaves de memoria que se conecten a él.

Este gusano, además, se conecta a una página web y utiliza el canal IRC para recibir y enviar información a la misma. Además, para evitar ser detectado, se deja de ejecutar si comprueba que lo están probando en máquinas virtuales como vmware y sandbox o en un honeypot; estas herramientas suelen ser empleadas para verificar si un fichero ejecutable realiza instrucciones maliciosas en un entorno controlado.

El troyano Spammer.AJF, por su parte, está diseñado para enviar spam (correo basura) desde los ordenadores infectados. El mail que envía está escrito en italiano y tiene el siguiente asunto: Ci sono i problemi con la potenzialita? D'ora innanzi non ci saranno piu

Una vez en el sistema, este troyano realiza varias copias de sí mismo en el sistema. Además, crea varias entradas nuevas en el Registro de Windows que afectan a la seguridad de Internet una de las cuales, por ejemplo, evita que se muestren las ventanas de Internet Explorer que alertan sobre las páginas no recomendadas o inseguras.

Además, PandaLabs ha detectado dos falsos instaladores de aplicaciones peer to peer o P2P (BitRoll-5.0.0.0 y Torrent101-4.5.0.0) que están siendo usados para instalar ejemplares del adware Lop en los ordenadores de los usuarios.

A continuación mostramos una serie de imágenes de el Spyware "PROFECO" :


Más imágenes disponibles en la galería de Hack//Crack®.