14° Informe VirusAlerts (Toryanos/Gusanos)

Cuidado con Google?!!!:

El informe de esta semana de ArceoLabs y PandaLabs recoge información sobre Fakegooglebar.Z, un troyano que modifica la página del famoso buscador google para distribuir falsos antivirus, el gusano Eranc.A y el bot Slenfbot.C protagonizan el informe de ArceoLabs y PandaLabs de esta semana.

Fakegooglebar.Z mostrará, al abrirse Internet Explorer, una advertencia diciendo que el equipo puede resultar dañado al visitar la web que el usuario esté intentando ver. Posteriormente, cuando el usuario intente visitar la página de Google, el código malicioso añadirá a ésta una indicación señalando que se ha detectado una versión de "Antivirus 2009" no registrada e invitando al usuario a activar este producto siguiendo un link. Si pincha sobre él, será redirigido a una web en la que podrá descargarse este falso antivirus.


"Los falsos antivirus son una amenaza creciente. Hasta ahora habíamos visto una distribución basada, sobre todo, en ele envío de spam con vínculos maliciosos. En este caso, se hace uso de un troyano que modifica la página de Google. De este modo, el usuario no desconfiará, ya que se trata de una página web que conoce y que ha visitado más veces y, por lo tanto, estará más tentado a descargar el falsos antivirus", explica Luis Corrons, director técnico de ArceoLabs.

Earanc.A es un gusano que para propagarse se copia en todas las unidades extraíbles del equipo. De este modo, cuando alguna de ellas sea conectada a un nuevo equipo, el gusano infectará también éste.

Al ejecutarse, el gusano abrirá el reproductor de videos de Windows (Windows Media Player) y reproducirá un video que muestra un reloj cambiando la manecilla del 1 al 12. Este video será borrado tras su reproducción y sustituido por una copia del gusano.

Earanc.A, además, borrará todos los ficheros multimedia del equipo infectado sustituyéndolos por una copia de sí mismo del tipo: nombre del fichero original.extensión original.exe. También realiza cambios en el registro para no mostrar las extensiones de fichero, no mostrar ficheros ocultos, y deshabilitar la restauración del sistema y las herramientas de registro.

Por ultimo, cambia el titulo de la ventana de Internet Explorer por este:
++++ Makanya jangan handak buka BF ja, neh rasain oleh2 dari amang hacker ++++

Slenfbot.C, por su parte, es un bot que se propaga autoenviándose a los contactos de MSN Messenger e IRC del usuario infectado. El archivo que envía está comprimido en formato .zip. y lleva como nombre "MVC-Imagen008".

Una vez ejecutado en un equipo, este código malicioso cerrará todas las aplicaciones de seguridad para la monitorización de procesos y del tráfico del equipo, con el fin de dificultar su detección. Además, creará entradas en el Registro de Windows para iniciarse incluso en el modo seguro de Windows.

Igualmente deshabilitará las herramientas de administración de windows e impedirá ver las carpetas ocultas del equipo y utilizar el intérprete de comandos.

-Esperando y les sea de útil saber esto...el equipo de Hack//Crack® les desea un bonito y agradable Fin de Semana.-