Se ha detectado durante estas semanas la aparición de dos nuevos virus con capacidad de troyanos que destacan por su originalidad y habilidad a la hora de robar recursos de sus víctimas, que se traduce en una reducción drástica en el ancho de banda del sistema atacado y por convertir a las víctimas en servidores de páginas pornográficas.

Migmaf, el primero de ellos, fue detectado a finales de la semana pasada. Si bien su incidencia es (y probablemente seguirá siendo) mínima, destaca por su complejidad. Tiene la capacidad de redirigir las peticiones al puerto 80 de la víctima hacia un servidor web central donde normalmente se alojan servicios pornográficos. Este servidor central recibe la petición redirigida y es capaz de contestar al cliente original que realizó la petición. De esta manera parece que la víctima es capaz de servir páginas pornográficas sin que el cliente pueda detectar que en realidad está siendo redirigido. También convierte a la víctima en un servidor proxy en su puerto 81, que puede ser usado por cualquiera para enviar correo no deseado o navegar de forma anónima. No contiene ninguna carga especialmente maligna que afecte al sistema, por lo que puede resultar difícil de detectar a no ser por el consumo de ancho de banda extra que puede llegar a devorar.

Webber es el segundo de los virus detectados esta semana, que posee características similares a Migmaf. Se expande vía correo electrónico, con un asunto del tipo “Re: Your credit application" y un archivo asociado ejecutable llamado “web.da.us.citi.heloc.pif" que intenta engañar a las víctimas haciéndoles creer que en vez de un fichero se trata de un enlace a una página web. El virus comienza entonces a descargar código adicional de un servidor y completa su infección enviando listas de contraseñas a un servidor (perteneciente al creador) a través de peticiones web.

Advertir también a los usuarios, de la aparición de un nuevo virus en español que se hace pasar por una alerta del Ministerio de Ciencia y Tecnología o por un aviso de Panda Antivirus. El virus, llamado Lohack.B, advierte en el cuerpo del mensaje enviado sobre una herramienta que previene y desinfecta el sistema infectado con un hipotético virus llamado hop.a. La dirección del remitente suele ser [info@myct.es].

Más información y referencias:

The new Lohack.B worm reaches computers in an e-mail:
http://www.pandasoftware.com/about/press/viewNews.aspx?noticia=3910

Trojan turns victims into DDoS, spam zombies:
http://www.theregister.co.uk/content/56/31801.html

Migmaf, un troyano que convierte los PCs en servidores de páginas pornográficas:
http://www.hispasec.com/unaaldia/1724

Sergio de los Santos
http://www.forzis.com