Virus y Troyanos

Un nuevo troyano, hasta día de hoy no identificado por ningún antivirus, se hace pasar por un nuevo servicio de Google capaz de buscar rápidamente música en formato MP3. El troyano, una vez logra infectar un sistema Windows, busca todas las contraseñas del ordenador y, junto con una captura de pantalla del sistema, lo envía a una dirección de correo.

29-07-2005 - Bajo el reclamo de ser una nueva herramienta de búsqueda avalada por Google, "Google MP3 Search" se esconde bajo algunos dominios tales como http://google-mp3search.com y similares, alojando un pequeño programa que roba contraseñas y en ninguna forma relacionado realmente con Google.

En la página, y con un estilo similar a las que usaría el famoso buscador, se describe una nueva herramienta y es comparada con las "incómodas" formas tradicionales de búsqueda de música en formato MP3. Para disfrutar de ella, es necesario descargar un pequeño programa llamado mp3search.exe con el que se promete un 99.9% de éxito de búsqueda de MP3 legítimos y libre de virus. Nada más lejos de la realidad.

Una vez ejecutada la aplicación en un sistema operativo de Microsoft, el usuario no observará ninguna ventana ni programa "visual" ejecutándose, mientras que en bambalinas, el programa recopilará contraseñas y las almacenará en el archivo c:pass.bin. Como dato curioso, también crea un archivo en formato GIF con una captura de pantalla (screen.gif). Estos dos archivos son enviados (y posteriormente eliminados) a la dirección de correo krustevs@googlemail.com usando para ello un script PHP (mail3.php) alojado en la dirección unknown.ord.scnet.net

El hecho de que utilice Internet Explorer a través del tradicional puerto 80 para alcanzar su objetivo (el script php y así poder enviar la información fuera del ordenador infectado) es especialmente ingenioso. Gracias a ello, el troyano elude la mayor parte de los cortafuegos que pudiesen estar instalados en los sistemas, pues la inmensa mayoría permitirá por defecto que el navegador acceda a páginas a través del puerto 80, y así el usuario no será alertado de ninguna conexión fuera de lo común (ni siquiera abrirá una instancia del navegador).

Esta precaución de su autor, unido a que ningún antivirus reconoce el troyano a día de hoy, y añadiendo el reclamo de la búsqueda de música MP3 avalada por Google, hacen de este troyano especialmente peligroso hasta el momento para usuarios Windows.

Según Virustotal.com, sistema de Hispasec que permite analizar un mismo archivo con múltiples antivirus, sólo "Fortinet" en su versión 2.36.0.0 del 28 de julio, sospecha del archivo searchmp3.exe sin llegar a identificarlo como virus. El resto (otras 20 casas antivirus) no encuentra nada raro en su interior hasta el momento. Esto puede hacer pensar a los usuarios que la herramienta es legítima, pero cabe recordar que el hecho de que un antivirus no alerte de un archivo en un momento dado no garantiza en absoluto que no suponga una amenaza para los datos del ordenador que lo ejecuta.

El dominio google-mp3search.com solo lleva algunas semanas registrado, y puede se accedido a través de avipreview.com, página de un conocido programa para visualizar vídeos incompletos. El dominio ha sido publicado (sin duda por sus autores) en diferentes foros para intentar infectar al mayor número de incautos.

Hispasec Sistemas (www.hispasec.com) ha colaborado en el análisis de este nuevo troyano y ya ha sido enviado a diferentes casas antivirus para acelerar su identificación.

Sergio de los Santos
http://hackpasoapaso.tk