Informe semanal de Panda Software sobre virus e intrusos.

El informe de esta semana de PandaLabs informa sobre el troyano, Burglar.A. y los gusanos: USBToy.A y Naiba.A.

Informe semanal de Panda Software sobre virus e intrusos.

El troyano Burglar.A puede causar grandes daños a los usuarios. Se distribuye por medio de correos electrónicos que anuncian que el Primer Ministro australiano ha sufrido un ataque al corazón o alguna otra enfermedad. Alguno de los asuntos de esos correos son: "Prime Minister survived a heard attack" o "The life of the Prime Minister is in grave danger".

Burglar.A infecta de dos maneras distintas. En un primer caso, el correo basura ofrece al usuario un link en el que pinchar. Si lo hace, será redirigido a una página en la que se encuentra el troyano. En el segundo caso, el troyano se oculta en un archivo ejecutable. Al abrirlo, Burglar.A se instala en el ordenador.

Cuando ha infectado la máquina, el troyano envía a su creador una serie de datos (IP, país donde está ubicada, latitud y longitud, etc.). Para presentar esta información, el troyano utiliza Google Maps. Así, cuando el ciberdelincuente abre el mapa de una ciudad, aparece la localización de los ordenadores infectados en ese lugar.  

A continuación, el troyano descarga varios ejemplares de malware. Uno de ellos es el troyano Keylog.LN. Este código captura las pulsaciones del teclado en busca de las claves y contraseñas del usuario. También descarga al troyano Banker.CLJ. Éste detiene la carga de la página legal de una serie de bancos y la sustituye por otra de creación propia. Una vez hecho el cambio, pide al usuario sus datos confidenciales.

La lista no acaba aquí. Burglar.A también descarga un tercer troyano llamado FileStealer.A. Está preparado para instalar un servidor de ficheros web en el ordenador infectado. El ciberdelincuente puede acceder a ese servidor a través de una página web. Esto le permite controlar los ordenadores de manera remota.

Sters.P es el último troyano descargado en la máquina por Burglar.A. Su función es impedir que el usuario o los programas de seguridad puedan acceder a las páginas de actualizaciones de ciertas compañías anti-malware.

“Este ataque cubre varios frentes con un único propósito: obtener dinero. Para ello, trata de conseguir todas las claves del usuario, tanto bancarias como de otro tipo. Además, impide que el usuario se proteja, prohibiéndole el acceso a las páginas de varias soluciones de seguridad. Por último, se controla el ordenador infectado para usarlo, probablemente, como medio para difundir más ejemplares de malware”, explica Luis Corrons, Director Técnico de PandaLabs.

El gusano USBToy.A utiliza los dispositivos USB para propagarse y para infectar ordenadores. Así, si uno de esos dispositivos (una llave de memoria, un MP3, etc.) se conecta a un ordenador infectado con USBToy.A, el gusano se copia como un archivo oculto. Luego, cuando el dispositivo sea conectado a un nuevo ordenador, también se infectará.
 
USBToy.A se ejecuta cada vez que se enciende el ordenador y muestra un mensaje con caracteres chinos en el escritorio. Además, utiliza la aplicación de Windows llamada “SetFileAttributesA” para ocultar su presencia y hacer más difícil su detección.

El gusano Naiba.A  también se  propaga a través de dispositivos USB. Se copia en todas las unidades mapeadas o físicas que encuentre disponibles en el ordenador junto con un fichero autorun.exe. Con ello, puede autoejecutarse cada vez que infecta una unidad. 

Naiba.A detiene los procesos de varias soluciones de seguridad y modifica entradas en el registro de Windows. Una de esas modificaciones le sirve para ocultarse. Otra evita que el servicio Cryptsvc notifique al usuario que se están produciendo esas modificaciones.
 
Este gusano, además, realiza varias acciones molestas. Por ejemplo, no deja abrir el block de notas e impide ver los archivos ocultos con el explorador de Windows.

Todos aquellos usuarios que deseen comprobar si su ordenador ha sido atacado por estos u otros códigos maliciosos pueden utilizar gratuitamente Panda ActiveScan (www.activescan.com.ar ).  Con ella puede llevarse a cabo una inspección completa del ordenador ante la sospecha de una infección.

Más información sobre estas u otras amenazas informáticas en la Enciclopedia de Panda Software (http://www.pandasoftware.es/virus_info/enciclopedia/)

Sobre PandaLabs

Desde 1990, tiene como misión analizar las nuevas amenazas lo antes posible para mantener seguros a nuestros clientes. Varios equipos especializados en cada tipo concreto de malware (virus, gusanos, troyanos, spyware, phishing, spam, etc.) trabajan 24×7 ofreciendo una cobertura global. Para ello, se apoya en las Tecnologías TruPreventTM, un auténtico sistema global de alerta temprana formado por sensores estratégicamente distribuidos, que neutraliza nuevas amenazas y las envía a PandaLabs para su análisis en profundidad. De acuerdo con Av.Test.org, actualmente, PandaLabs es el laboratorio más rápido de la industria en proporcionar actualizaciones completas a los usuarios (más información en www.pandasoftware.es/pandalabs).

Fuente:
Panda Software

Panda Antivirus
Dast Informática S.R.L.
Primer Distribuidor Mayorista
Panda Software Argentina
www.pandaantivirus.com.ar

Resellers Certificados y Activos para comercializar en Argentina:
www.pandaantivirus.com.ar/distribuidores

Panda ActiveScan TM Antivirus Online Gratis y Actualizado al día con la última tecnología:
www.ActiveScan.com.ar

Recursos Gratuitos para Webmasters:
www.pandaantivirus.com.ar/webmasters

Certificación como Reseller Autorizado:
www.pandaantivirus.com.ar/resellers

Renovación de servicios monopuestos y corporativos:
www.pandaantivirus.com.ar/renovaciones

Registración Online de Productos/Servicios Panda Software:
www.pandaantivirus.com.ar/registraciononline

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática