Diario Tecnologico - Los virus e intrusos de la semana

El informe que elabora semanalmente PandaLabs se ocupa esta semana de tres troyanos: Banker.HIK, Wsnpoem.AW y Dadlam.A.

(DT, AGENCIAS) El primer código malicioso, Banker.HIK, pertenece al cada vez más extendido grupo de los troyanos bancarios. Está diseñado especialmente para robar información que se introduce en aplicaciones de banca on-line, principalmente brasileñas, como Banco do Brasil o CEF. Banker.HIK lleva a cabo esta labor mostrando pantallas falsas donde el usuario introducirá sus datos bancarios, que el troyano tendrá a su total disposición.

Banker.HIK además controla el tráfico de información que se produce en ciertas páginas web, aumentando así su radio de acción para apropiarse de más datos del usuario. Para asegurar su actividad, este troyano se copia a sí mismo en el directorio de Inicio de Windows con el nombre logon.exe, lo que hace que cada vez que se reinicie el equipo, el troyano se ejecute.

Una de las peculiaridades de Banker.HIK es que muestra un mensaje de error en el que se puede leer “Socket Error # 11004”, lo que puede facilitar la detección de este troyano.

El segundo troyano del informe, Wsnpoem.AW, también está dedicado al robo de contraseñas. Este código malicioso borra todas las cookies del computador para obligar así al usuario a teclear de nuevo las direcciones de las páginas web que va a visitar en la barra de navegación.

Wsnpoem.AW también realiza modificaciones y crea ciertos archivos en el Registro y en el directorio de Inicio de Windows, de nuevo con la intención de asegurar su ejecución cada vez que el equipo se reinicie. Este troyano crea el mutex “__SYSTEM__64AD0625__”, un proceso en memoria que asegura al troyano que no se ejecuta de forma simultánea más de una copia de sí mismo.

Dadlam.A es el otro troyano que ocupa el informe de esta semana. Se trata de un troyano de tipo keylogger que puede ser bastante peligroso para el computador. El troyano se esconde tras un icono de un fichero de video, ya que para confiar al usuario muestra un video de contenido sexual mientras actúa. Además, Dadlam.A realiza modificaciones en el fichero boot.ini y crea una tarea que hace que el PC se reinicie siempre a las 6:00.

La principal amenaza de Dadlam.A es que suelta dos ejemplares de malware. El primero, IRCbot.ASM, escanea todos los puertos del computador para descubrir aquellos susceptibles de facilitar entradas desde el exterior. El segundo, Downloader.OBW, se encarga de intentar descargar otros tipos de malware en el equipo comprometido.

Dadlam.A no puede propagarse por sus propios medios, por lo que necesita de la acción de un usuario y llega al sistema por medio de los canales habituales, ya sea descargado por otro malware o desde una página web maliciosa.

“Volvemos a observar que el sexo es un tema muy recurrente para los creadores de malware. Al ser uno de los intereses más demandados de la Web, los hackers se apoyan en los documentos de contenido sexual como cebo para los usuarios, lo cual les facilita la propagación de sus creaciones”, indica Luis Corrons, Director Técnico de PandaLabs.