– Informe semanal de Panda Security sobre virus e intrusos –

El informe de PandaLabs de esta semana ofrece información sobre los troyanos Banbra.FXT, Pushdo.C y Agent.JEN, así como de la existencia de unos correos falsos que anuncian un accidente sufrido por Fernando Alonso y que distribuyen el troyano Banker.LGC.

Banbra.FXT llega al ordenador a través del correo electrónico, fingiendo ser un aviso del Ministerio Público Federal de Brasil. El mail informa sobre una supuesta investigación abierta e incita al usuario a abrir un archivo adjunto en formato .Zip.

Si el usuario descarga y ejecuta ese archivo estará introduciendo el troyano en su equipo. Éste cargará diversos servicios en el sistema con el fin de monitorizar el acceso a la página web de ciertas entidades bancarias brasileñas y poder robar los datos confidenciales que los usuarios introduzcan en ellos (claves, número de cuenta, etc.).

El troyano Pushdo.C, por su parte, está diseñado para robar datos confidenciales y enviarlos a distintos servidores para que estén accesibles por su creador. Los datos que envía son: la IP del ordenador, si el usuario infectado tiene permisos de administrador o no, el número de serie del Disco Duro, el tipo de sistema de archivos del Disco duro y muchos otros.

Además, este código malicioso está diseñado para descargar otros ejemplares de malware desde los mismos servidores a los que envía información, haciendo la situación aún mucho más peligrosa para la seguridad del ordenador infectado.

El Agent.JEN es distribuido mediante correos electrónicos que informan sobre la incapacidad de repartir un envío por parte de la compañía UPS. Estos mails utilizan asuntos como “UPS packet N3621583925”. En el cuerpo del mensaje se avisa al usuario de que no ha sido posible enviar un supuesto paquete y se le invita a imprimir una copia de la factura adjunta.

Esa factura está incluida en un fichero adjunto en formato “.zip” que incluye un archivo ejecutable con la apariencia de un documento de Microsoft Word, con nombres como “UPS_invoice”. Si el usuario ejecuta dicho archivo, estará introduciendo una copia del troyano en su equipo.

Este código malicioso se copia en el sistema, sustituyendo al fichero Userinit.exe, del sistema operativo Windows. Este fichero es el que se encarga de ejecutar el navegador Internet Explorer, la interfaz del sistema, y otros procesos esenciales.

Para conseguir que el ordenador siga funcionando correctamente y que el usuario no sea consciente de la infección, el troyano copia el verdadero fichero en otra ubicación con el nombre userini.exe.

Agent.JEN, además, efectúa una conexión a un dominio ruso (que ya ha sido usado en varias ocasiones anteriores por troyanos bancarios) desde el cual redirigirá la petición a un dominio alemán para descargarse un rootkit, y un adware, detectados por PandaLabs como Agent.JEP y AntivirusXP2008, respectivamente.

Puede obtener mas informacisn aquí.

Publicado el 1 August, 2008
por en Aprendizaje/TIC. Etiquetas: , , , , , , , , , .

Imprimir artículo

Artículos relacionados