Diario Tecnologico - Los virus e intrusos de la semana

Las primeras cuatro variantes de otras tantas familias de troyanos centran el informe de esta semana de PandaLabs. Se trata de Bankey.A, BankFake.A, Ketawa.A y Opticibot.A. Además, este informe también da datos sobre Braban.F.worm, un gusano que se propaga a través del sistema de mensajería instantánea MSN Messenger.

(DT, AGENCIAS) BanKey.A y BankFake.A son dos códigos maliciosos de características similares. En ambos casos, se trata de troyanos bancarios que muestran una pantalla que simula ser la de un banco online. En esta página, se ofrece a los usuarios la posibilidad de introducir sus datos bancarios (número de cuenta, claves,…). Si lo hacen, esa información será enviada inmediatamente por correo a los creadores del malware.

Precisamente, la forma en la que envían los datos es una de las diferencias entre ellos. BankFake.A utiliza una conexión segura SMTP, a través del puerto 465, y envía los datos cifrados. BanKey.A, por su parte, utiliza una plantilla establecida por el propio código malicioso para enviar los datos a una cuenta de Gmail.

Una vez los datos han sido robados, y para que los usuarios no sospechen, los códigos maliciosos muestran un mensaje de error en el que se pide disculpas por no poder prestar el servicio adecuadamente. Además, BankFake.A, para hacer más creíble el engaño, redirecciona al usuario a la web legal del banco.

Ambos códigos maliciosos pueden ser distribuidos por correo electrónico. Además, BankFake.A es descargado en los computadores por el troyano Downloader.OPY. Los dos se instalan en el PC con la apariencia de un acceso directo a Internet Explorer.

Ketawa.A es un troyano que puede llegar por correo electrónico o como parte de descargas realizadas desde Internet. Cuando es ejecutado, este archivo abre una ventana del navegador en la que muestra un chiste en indonesio, en un estilo similar al de algunos mensajes de spam.

Este troyano modifica el registro de Windows para asegurarse de que es ejecutado con cada reinicio. También crea algunos archivos y los guarda como ocultos; además, para esconder esos cambios, modifica otras claves del registro de modo que el usuario no pueda ver los archivos ocultos.

Opticibot.A es un troyano del tipo “ladrón de contraseñas”. Este código malicioso utiliza técnicas rootkit para ocultar los ficheros y las entradas del registro que crea. De esta forma, intenta pasar desapercibido ante las soluciones de seguridad.

Una de las modificaciones que realiza le permite ejecutarse con cada reinicio del sistema. Además, intenta conectarse a una página web desde la que podría descargarse malware u otro tipo de archivos maliciosos.

“Estos cuatro códigos maliciosos están relacionados con la nueva dinámica del malware en la que el objetivo es conseguir un beneficio económico de las infecciones. Para ello, los troyanos son una de las herramientas más idóneas, ya que permiten a los ciberdelincuentes hacerse con un gran número de datos confidenciales de manera más silenciosa que otras técnicas”, resume Luis Corrons, Director Técnico de PandaLabs.

Braban.F.worm es un gusano que se propaga a través del sistema de mensajería instantánea MSN Messenger. Para ello, utiliza una técnica muy extendida entre este tipo de gusanos que consiste en enviar un link a todos los contactos de la persona infectada. Ese link va acompañado de un texto en portugués que incita a los usuarios a pinchar sobre él. Si lo hacen, se estarán descargando una copia del gusano.

Además, el link conducirá al usuario a una página web en brasileño. En ella, se le pedirá confirmación para ejecutar un archivo. Si acepta, el usuario será dirigido a una página en ruso que muestra la imagen de una chica con una cámara de fotos. Mientras esto ocurre, el usuario estará siendo infectado con un troyano bancario, Banbra.EJX, con el troyano Nabload.BJG y con el gusano Braban.F.