Informe semanal sobre virus e intrusos

El informe de esta semana de PandaLabs da información sobre Conycspa.AJ, un peligroso troyano que descarga otros nueve códigos maliciosos en los ordenadores que compromete. Además, trata sobre el caso de Briz.X, un troyano que ya ha infectado a más de 14.000 usuarios, y sobre los gusanos MSNPhoto.A y Ridnu.D.

El troyano Conycspa.AJ está diseñado para mostrar ventanas de publicidad a los usuarios. Para ello, modifica diferentes entradas en el registro de Windows que le permiten alterar los resultados de ciertas búsquedas que el usuario realice en Internet. De este modo, busca dirigirle hacia algunas páginas web, la mayoría de ellas relacionadas con la venta de medicamentos.

Este troyano, además, se conecta a una determinada dirección web desde la que descarga diferentes archivos. Uno de ellos, llamado mm4839.exe, está diseñado para enviar spam sobre medicamentos desde el ordenador de los usuarios.

También descarga desde Internet una larga lista de ficheros infectados correspondientes al siguiente malware: el adware MalwareAlarm, los programas potencialmente peligrosos DriveCleaner, WinAntivirus2006 y PsKill.J, los troyanos Stox.A y Cimuz.EI, y las cookies DriveCleaner, MediaPlex y DriveCleaner.

Puede obtener más información sobre todos estos códigos maliciosos en la Enciclopedia de virus.

"Con este tipo de malware los ciber-delincuentes buscan rentabilizar sus ataques. Por cada infección que logran, consiguen introducir en el ordenador del usuario un gran número de códigos maliciosos, aumentando así sus posibilidades de obtener algún tipo de beneficio mediante el robo de datos confidenciales, visitas a páginas que venden ciertos productos, envío de spam, secuestro de ordenadores, etc.", explica Luis Corrons.

Conycspa.AJ crea varias modificaciones más en el registro de Windows. Una de ellas le permite ejecutarse con cada reinicio. Además, crea una BHO (Browser Helper Object u objeto de ayuda del navegador) que le permite registrar la navegación del usuario.

También modifica el firewall para poder abrir un puerto aleatorio y el fichero win.ini para ejecutarse automáticamente al iniciar sesión en el equipo.

El sistema operativo Windows cuenta con una protección llamada Windows File Protection (WFM). Ésta se encarga de comprobar que no haya ficheros corruptos y, en caso de dar con alguno, lo sustituye por una copia del original. Este peligroso troyano modifica ese directorio de restauración de ficheros y establece como valor el suyo propio. Así, cada vez que el sistema operativo intente restaurar la librería corrupta lo hará, de nuevo, por la creada por el troyano. De esta manera, protege sus modificaciones y evita su eliminación por parte del sistema operativo.

Briz.X, también ha sido protagonista esta semana. PandaLabs dio con un servidor que recibía la información confidencial robada por este troyano. Más de 14.000 usuarios se han visto ya afectados por esta variante que infecta una media de 500 máquinas diarias.

Este troyano cuenta con un módulo parser que permite a los ciber-delincuentes gestionar toda la información robada, realizando búsquedas por términos o direcciones IP o creando filtros para dar más rápidamente con ciertos datos.

MSNPhoto.A es un gusano que se propaga a través del programa de mensajería instantánea MSN Messenger. Este malware llega al ordenador con el icono de una imagen, pero en realidad es un archivo .exe.

Cuando es ejecutado, MSNPhoto.A cierra todas las ventanas de MSN Messenger que el usuario tenga abiertas y envía un mensaje a todos sus contactos en el que los insta a abrir un fichero con el nombre fotos_posse.zip. Ese fichero es, en realidad, una copia del gusano.

Este gusano, además, impide la apertura del administrador de tareas, de modo que el usuario no pueda cerrar MSN Messenger. También intenta descargar varios ficheros desde Internet. Por último, realiza una modificación en el registro de Windows para asegurarse que es ejecutado con cada reinicio del sistema.

"Los servicios de mensajería instantánea, como MSN Messenger, Yahoo!Messenger, AIM, etc. se usan cada vez más tanto en los hogares como en los centros de trabajo. Lo que ocurre es que al estar tan extendidos, se han convertido en una magnífica forma de propagarse para el malware que puede llegar así a un mayor número de ordenadores", explica Luis Corrons.

Ridnu.D es el segundo gusano de este informe. Este malware, como anteriores variantes de la familia Ridnu, se caracteriza por mostrar molestos mensajes mientras se está haciendo uso del ordenador. Así, modifica el contenido de "ejecutar" mostrando el texto "Mr_CoolFace Has Come!". También cambia el nombre de la carpeta Mis Documentos por "Mr_CoolFace" y escribe mensajes como "Dear my princess" cada vez que el usuario abre el bloc de notas.

Además, Ridnu.D crea varias entradas del registro de Windows para cambiar el aspecto de la barra de herramientas del Explorador de Windows y asegurarse la ejecución con cada reinicio, entre otras acciones maliciosas.

Puede ver el vídeo preparado por PandaLabs sobre las acciones realizadas por Ridnu.D.

Más información sobre estas u otras amenazas informáticas en la Enciclopedia de virus.

Los usuarios que deseen comprobar si algún código malicioso ha atacado su ordenador pueden utilizar, de manera completamente gratuita, las soluciones online TotalScan o NanoScan beta.