Virus y Troyanos

PandaLabs ha detectado una dirección web preparada para llevar a cabo un complejo ataque combinado en el que participan hasta varios ejemplares de malware distintos. El mayor peligro de este ataque es que se inicia tan sólo con la visita a una determinada dirección de Internet, preparada para aprovechar posibles vulnerabilidades en el equipo del usuario que se encuentre conectado a dicha dirección.

31-08-2005 - En caso de que el usuario se conecte a dicha dirección, lo que verá será un código javascript codificado que, en realidad, constituye una forma de ocultar otro código que por medio de diversas vulnerabilidades y objetos diseñados a tal efecto, en caso de ser exitosa, resulta en la descarga en el sistema de Trj/Downloader.CYZ.

Cuando éste se ejecuta, intenta otorgarse a sí mismo el privilegio de depurar (debug) otros programas, con esto podría, entre otras cosas, terminar procesos, crear hilos de ejecución remotos… Posteriormente se autocopia en %temp%sstchst.exe y se ejecuta, borrando el fichero inicial. Además, intenta descargar y ejecutar dos ficheros desde otras tantas direcciones web, file1.exe y file2.exe, que contienen dos códigos maliciosos, Trj/Banker/VY y Trj/Dumarin.L, y que guardará en el sistema. El troyano posee también la capacidad de cerrar ventanas normalmente asociadas a avisos de seguridad, de modo que el usuario no pueda visualizarlas y advertir el peligro. En cada infección, Downloader.CYZ se conecta a una web que parece ser un contador del número de infecciones.

Por su parte, Trj/Banker/VY se copia en el sistema con el nombre nbthlp.exe, creando una entrada en el registro de Windows para ejecutarse cada vez que se reinicie el sistema. Sin embargo, la peligrosidad de este troyano reside en que está diseñado para interceptar la información que el usuario introduce cuando se conecta a páginas web correspondientes a un gran número de entidades financieras de todo el mundo.

Para llevar esto a cabo, emplea un curioso método, que consiste dos acciones:

· Por un lado, lanza una petición DNS para resolver un dominio, del que obtiene direcciones cientos de réplicas falsas de páginas web de bancos, con el objeto de llevar a cabo ataques de phishing. Seguidamente, modifica el fichero HOSTS creando cientos de entradas que corresponden a las entidades bancarias que desea controlar, de modo que cuando el usuario solicite dichas páginas, se le presenten aquellas réplicas cuyas direcciones acaba de conseguir.

· Por otro lado, el troyano posee una lista de cadenas de caracteres detalladas en su código, agrupadas por entidad bancaria: en caso de que el usuario introduzca alguna combinación de estas cadenas de caracteres, será redirigido a una nueva web falsa simulando ser su banco, para llevar a cabo la estafa.

La motivación que se puede esconder detrás de esta sofisticación del phishing es evitar el problema de las direcciones variables, de modo que no son abarcables por medio de una simple modificación del fichero HOSTS. De este modo, si todas las direcciones variables poseen una parte común, también podrán ser atacadas.

Por otra parte, Trj/Dumarin.L deposita una serie de ficheros en el ordenador afectado, con una función específica en cada caso:

- Uno de los ficheros, detectado a su vez como Trj/MiniLD.C, se inyecta en todos los procesos del sistema, permitiendo que Dumarin.L inspeccione los títulos de determinadas ventanas y en función de ellos, capture información y la escriba en un fichero de log.

- El segundo de los ficheros es indicador de la máquina

- El tercero de los ficheros salva la información depositada por el usuario en el portapapeles.

- Finalmente, un cuarto contiene la funcionalidad backdoor, que permite que el troyano reciba órdenes por control remoto. Además, con el fin de evitar firewalls orientados a procesos, Dumarin.L crea un proceso Internet Explorer hijo, en el que se inyecta y a través del cual escucha.

Toda la información recolectada la va recogiendo en un directorio temporal, que posteriormente envía a un servidor remoto. En el momento de escribir estas líneas, dicha información superaba los 20MB, y contiene información muy confidencial que permitiría a cualquier persona acceder a las cuentas online de bancos, Skype, MS Passport, webmail...

Según Luis Corrons, director de PandaLabs: “Si algo destaca en este ataque es lo cuidado que está, tanto en lo referente al troyano Banker.VY, que vigila un gran número de webs de entidades bancarias y las falsea de forma convincente, lo que implica un exhaustivo trabajo de investigación por parte del creador, como por parte de Dumarin.L, capaz de robar información de un gran número de aplicaciones diferentes, de las que puede obtener beneficio. Parece claro que, cada vez más, los desarrolladores de malware apuestan por vivir económicamente de sus creaciones”.

Para evitar la entrada de cualquiera de los mencionados troyanos, Panda Software recomienda mantener actualizado el software antivirus. Los clientes de Panda Software ya tienen a su disposición las correspondientes actualizaciones para la detección y desinfección de estos nuevos códigos maliciosos.

Los clientes de Panda Software que aún no disponen de las Tecnologías TruPreventTM, ya tienen disponibles las actualizaciones para instalarlas junto con su antivirus y estar, así, protegidos de forma preventiva frente a virus e intrusos desconocidos. Por otro lado, para usuarios que cuenten con otros antivirus del mercado, Panda TruPreventTM Personal es la solución idónea, ya que es compatible y complementaria a éstos y proporciona una segunda línea de defensa y una protección preventiva que actúa mientras el antivirus es actualizado, disminuyendo el riesgo de ser infectados. Más información sobre las Tecnologías TruPreventTM en http://www.pandasoftware.es/truprevent

Para ayudar al mayor número de usuarios a analizar y/o desinfectar puntualmente sus equipos, Panda Software ofrece gratuitamente -en http://www.pandasoftware.es/home/default.asp- la solución antimalware online Panda ActiveScan, que ahora también detecta spyware. Además, los webmasters pueden ofrecer este mismo servicio a los visitantes de sus páginas web mediante la inclusión de un código HTML que pueden obtener gratuitamente en http://www.pandasoftware.es/partners/webmasters/

Panda Software también pone a disposición de los usuarios Virus Alerts, boletín digital -en español e inglés- en el que notifica, de forma inmediata, la aparición de códigos maliciosos potencialmente peligrosos. Para recibir Virus Alerts sólo hay que visitar la web de Panda Software (http://www.pandasoftware.es/about/suscripciones/), y rellenar el formulario correspondiente.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software.

Sobre PandaLabs

Desde 1990, tiene como misión analizar las nuevas amenazas lo antes posible para mantener seguros a nuestros clientes. Varios equipos especializados en cada tipo concreto de malware (virus, gusanos, troyanos, spyware, phishing, spam, etc.) trabajan 24x7 ofreciendo una cobertura global. Para ello, se apoya en las Tecnologías TruPreventTM, un auténtico sistema global de alerta temprana formado por sensores estratégicamente distribuidos, que neutraliza nuevas amenazas y las envía a PandaLabs para su análisis en profundidad. De acuerdo con Av.Test.org, actualmente, PandaLabs es el laboratorio más rápido de la industria en proporcionar actualizaciones completas a los usuarios (más información en www.pandasoftware.es/pandalabs.asp/).

Para más información:
http://www.pandasoftware.es/virus_info/


Ana Pereira
comunicacion@pandasoftware.es
Tel. 902 24 365 1
607 57 21 55