Informe semanal sobre virus e intrusos

El informe de PandaLabs de esta semana se centra en tres códigos maliciosos: el troyano PayRob.A, la herramienta Icepack, y el gusano Chasnah.A.

PayRob.A es un troyano diseñado especificamente para robar información relativa a cuentas del sistema de pago online PayPal. Como la gran mayoría de los troyanos, no puede propagarse por sus propios medios, por lo que para llegar a los ordenadores es necesaria la intervención de un usuario malicioso.

En caso de que un usuario ejecute el archivo conteniendo a PayRob,A, se otorgará a si mismo atributos de fichero oculto y modificará el registro de Windows con el objetivo de ejecutarse en cada reinicio del sistema.

El troyano crea dos archivos en el ordenador en las carpetas de archivos temporales de Internet y en C:\WINDOWS\MSAPPS\. En caso de que ésta última no se encuentre en el sistema, se mostrará un mensaje de error.

Además, suelta un archivo denominado modeexpinovo.txt en la carpeta de archivos temporales de Internet. Este archivo de texto almacenará las claves de PayPal que puedan encontrarse en el sistema afectado, y podrá accederse a él de forma remota de manera que un hacker pueda hacerse con la información desde un determinado HOST de Internet.

Para propagarse, el gusano Chasnah.A utiliza carpetas compartidas y dispositivos USB. Cuando es ejecutado, crea varios archivos en el sistema, así como entradas en el registro de Windows.

Hecho lo anterior, cada vez que el usuario inicia sesión se muestra una pantalla con un mensaje en inglés y en indonesio. Además, periódicamente abre el navegador web mostrando la página antes mencionada.

Por otra parte, Chasnah.A disminuye el nivel de protección del sistema impidiendo la ejecución de determinadas aplicaciones de seguridad, y se copia periódicamente en unidades de disco extraíble.

Por último, IcePack es una herramienta maliciosa de instalación de malware mediante exploits. El proceso de infección de los ordenadores utilizando Icepack es el siguiente: la aplicación accede a una página web a la que añade una referencia iframe que apunta al servidor donde está instalada esa aplicación. La principal novedad de Icepack es que la propia herramienta es la que añade el iframe. En otras aplicaciones anteriores, como Mpack, es un hacker el que tiene que conseguir manualmente el acceso a las páginas web en las que insertarlo.

Cuando un usuario visite una de esas páginas manipuladas, el iframe activará a Icepack que buscará vulnerabilidades que puedan existir en la máquina del usuario. En caso de encontrar alguna, descargará en ese ordenador el exploit que permita aprovecharla. Un dato importante es que Icepack utiliza los exploits correspondientes a las últimas vulnerabilidades aparecidas. La razón es que, al ser más recientes, hay menos posibilidades de que los usuarios hayan actualizado sus equipos para solventar esos fallos de seguridad.

Desde este momento, el delincuente podrá descargar cualquier tipo de malware en los ordenadores afectados. Otra de las novedades de Icepack es el uso combinado de un verificador de ftps y un iframer. El primero sirve a los ciber-delincuentes para aprovechar la información sobre cuentas FTP que hayan conseguido robar en los ordenadores afectados. Así, los datos de esas cuentas son pasados por ese verificador para comprobar si son válidos o no. Aquellas que lo sean, pasarán al iframer que las manipulará introduciendo en ellas el iframe que apunta a Icepack. Con esto, la aplicación puede comenzar de nuevo su “ciclo de vida”.

Más información sobre estas u otras amenazas informáticas en la Enciclopedia de virus.

Los usuarios que deseen comprobar si algún código malicioso ha atacado su ordenador pueden utilizar, de manera completamente gratuita, las soluciones online TotalScan o NanoScan beta.