Informe semanal de Panda Softwaresobre virus e intrusos

El informe de esta semana de PandaLabs informa sobre el troyano, Burglar.A. y los gusanos: USBToy.A y Naiba.A.

El troyano Burglar.A puede causar grandes daños a los usuarios. Se distribuye por medio de correos electrónicos que anuncian que el Primer Ministro australiano ha sufrido un ataque al corazón o alguna otra enfermedad. Alguno de los asuntos de esos correos son: "Prime Minister survived a heard attack" o "The life of the Prime Minister is in grave danger".

Burglar.A infecta de dos maneras distintas. En un primer caso, el correo basura ofrece al usuario un link en el que pinchar. Si lo hace, será redirigido a una página en la que se encuentra el troyano. En el segundo caso, el troyano se oculta en un archivo ejecutable. Al abrirlo, Burglar.A se instala en el ordenador.

Cuando ha infectado la máquina, el troyano envía a su creador una serie de datos (IP, país donde está ubicada, latitud y longitud, etc.). Para presentar esta información, el troyano utiliza Google Maps. Así, cuando el ciberdelincuente abre el mapa de una ciudad, aparece la localización de los ordenadores infectados en ese lugar.

A continuación, el troyano descarga varios ejemplares de malware. Uno de ellos es el troyano Keylog.LN. Este código captura las pulsaciones del teclado en busca de las claves y contraseñas del usuario. También descarga al troyano Banker.CLJ. Éste detiene la carga de la página legal de una serie de bancos y la sustituye por otra de creación propia. Una vez hecho el cambio, pide al usuario sus datos confidenciales.

La lista no acaba aquí. Burglar.A también descarga un tercer troyano llamado FileStealer.A. Está preparado para instalar un servidor de ficheros web en el ordenador infectado. El ciberdelincuente puede acceder a ese servidor a través de una página web. Esto le permite controlar los ordenadores de manera remota.

Sters.P es el último troyano descargado en la máquina por Burglar.A. Su función es impedir que el usuario o los programas de seguridad puedan acceder a las páginas de actualizaciones de ciertas compañías anti-malware.

"Este ataque cubre varios frentes con un único propósito: obtener dinero. Para ello, trata de conseguir todas las claves del usuario, tanto bancarias como de otro tipo. Además, impide que el usuario se proteja, prohibiéndole el acceso a las páginas de varias soluciones de seguridad. Por último, se controla el ordenador infectado para usarlo, probablemente, como medio para difundir más ejemplares de malware", explica Luis Corrons, Director Técnico de PandaLabs.

El gusano USBToy.A utiliza los dispositivos USB para propagarse y para infectar ordenadores. Así, si uno de esos dispositivos (una llave de memoria, un MP3, etc.) se conecta a un ordenador infectado con USBToy.A, el gusano se copia como un archivo oculto. Luego, cuando el dispositivo sea conectado a un nuevo ordenador, también se infectará.

USBToy.A se ejecuta cada vez que se enciende el ordenador y muestra un mensaje con caracteres chinos en el escritorio. Además, utiliza la aplicación de Windows llamada "SetFileAttributesA" para ocultar su presencia y hacer más difícil su detección.

El gusano Naiba.A también se propaga a través de dispositivos USB. Se copia en todas las unidades mapeadas o físicas que encuentre disponibles en el ordenador junto con un fichero autorun.exe. Con ello, puede autoejecutarse cada vez que infecta una unidad.

Naiba.A detiene los procesos de varias soluciones de seguridad y modifica entradas en el registro de Windows. Una de esas modificaciones le sirve para ocultarse. Otra evita que el servicio Cryptsvc notifique al usuario que se están produciendo esas modificaciones.

Este gusano, además, realiza varias acciones molestas. Por ejemplo, no deja abrir el bloc de notas e impide ver los archivos ocultos con el explorador de Windows.

Todos aquellos usuarios que deseen comprobar si su ordenador ha sido atacado por estos u otros códigos maliciosos pueden utilizar gratuitamente Chequea tu PC. Con ella puede llevarse a cabo una inspección completa del ordenador ante la sospecha de una infección.

Más información sobre estas u otras amenazas informáticas en la Enciclopedia de virus.