Fecha artículo: 2006-04-29 14:40:05 - url artículo: http://seguridad.internautas.org/html/749.html
NUEVO TROYANO BRIZ. F UTILIZA PORNOGRAFÍA PARA ROBAR DATOS BANCARIOS.
PandaLabs ha detectado la aparición del nuevo troyano Briz.F, diseñado para robar datos relacionados con servicios bancarios y que, para instalarse en los equipos, utiliza como reclamo páginas pornográficas de todo tipo que se encuentran disponibles en la Red.
La aparición de Briz.F es una consecuencia de la trama de venta y creación de troyanos personalizados Briz, que PandaLabs descubrió y desmanteló recientemente. Según Luis Corrons, director de PandaLabs: “las características de Briz.F indican que, o bien el autor de la trama ha decidido tratar de obtener dinero modificando el troyano original, o que ha conseguido crear una nueva trama de creación y venta de códigos maliciosos”.
Las páginas en las que se aloja Briz.F están diseñadas para descargar de forma automática el código malicioso en los ordenadores de los usuarios que las visitan, aprovechando distintas vulnerabilidades de software. Sin embargo, tampoco debe descartarse la posibilidad de tener un encuentro con dicho troyano a través de otros medios, como pueden ser mensajes de correo electrónico, archivos descargados desde Internet, redes para compartir archivos P2P, etc.
La forma de actuar de Briz.F es compleja y muy elaborada. El ataque comienza con la instalación de un archivo llamado iexplore.exe, que tiene como misión preparar el terreno, detectando si existe conexión a Internet. En caso positivo, se conecta a cierta página web para descargar otro archivo llamado ieschedule.exe. Por último, iexplore.exe desactiva los servicios de Windows Security Center y el acceso compartido a Internet.
Tras ello, ieschedule.exe envía los datos del equipo infectado (nombre, dirección IP, zona geográfica, etc.) a una dirección predeterminada por el atacante. Al mismo tiempo, descarga otros archivos, entre los que se encuentra smss.exe, que modifica el archivo hosts para impedir el acceso a sitios webs relacionados con productos de seguridad, e ieredir.exe, que redirige al usuario hacia falsas páginas web cuando intenta conectarse a determinados servicios online, principalmente relacionados con entidades bancarias. Además, el troyano recoge información de Protected Storage de Windows, así como de los programas de correo electrónico Outlook, Eudora y The Bat, enviándola después al atacante.
Hay que destacar que muchos de los archivos que el troyano instala en el sistema se autodestruyen una vez llevadas a cabo sus acciones, lo que puede dificultar al usuario saber si ha sido víctima o no del ataque de Briz.F.
Las tecnologías de protección proactiva TruPreventTM han detectado y bloqueado a Briz.F sin conocerlo con anterioridad y, por tanto, sin necesidad de actualizaciones. Por esta razón, los equipos que disponen de ellas han estado protegidos desde el mismo momento en que esta amenaza hizo aparición.
“Códigos maliciosos como Briz.F, diseñados para tratar de pasar desapercibidos tanto para los usuarios como para las compañías de seguridad -que no pueden realizar vacunas contra ellos dado que ni siquiera conocen su existencia-, son cada día más frecuentes. Este es un problema que es necesario resolver empleando soluciones tecnológicas. Los antivirus tradicionales ya no son suficientes, y deben ser complementados con tecnologías proactivas capaces de detectar por sí mismas la presencia de malware, sin necesidad de actualizaciones”, añade Luis Corrons.
Fuente:
http://www.pandasoftware.es/about/prensa/verNoticia.aspx?
noticia=7295&sitepanda=particulares
