INFOTECHNO

Bienvenidos a INFOTECHNO!! Un sitio de tecnologia dedicado a informar.

Informe semanal sobre virus e intrusos

Posted by infotechno en mayo 21, 2007

KardPhisher.A es un troyano que se hace pasar por un mensaje de Windows para robar información confidencial. El proceso es el siguiente: una vez ha infectado un computador, el troyano crea un archivo con nombre “keylog.dll” que se encarga de capturar la información del teclado. 

A continuación, y para asegurarse de que el usuario introducirá alguna información “rentable”, el troyano muestra, tras el siguiente reinicio del PC, una ventana que simula ser un mensaje de Windows. En ese mensaje se dice al usuario que se ha activado una copia de Windows con el mismo código que la suya. Para asegurar que su copia es la legal, se le pide al usuario que introduzca ciertos datos.

 

La trampa está en que el usuario no se puede negar a introducir los datos. Incluso, si el usuario pulsa sobre la opción “No, I will do it later” (no, lo haré más tarde), el computador se apagará, volviendo a mostrar el mismo mensaje, si el usuario lo reinicia“, explica Luis corrons, Director Técnico de PandaLabs.

 

Si ante la imposibilidad de hacer otra cosa, el usuario decide seguir adelante, el troyano le mostrará una nueva ventana en la que se le pedirán datos personales como el número de la tarjeta de crédito, el e-mail y el código CVV.

 

El troyano comprobará que la dirección de correo electrónico tiene una arroba o que el número de la tarjeta de crédito tiene el número de dígitos correctos.

 

Sin embargo, no es necesario que esos datos sean reales. Es decir, podemos inventarnos la dirección de correo y el número de tarjeta. De esta manera, no estaremos dando datos confidenciales y lograremos utilizar, de nuevo, nuestro computador de forma correcta“, asegura Luis Corrons, “El riesgo está en que alguien mal informado proporcione datos reales, ya que la información suministrada por el usuario es enviada, inmediatamente, al creador del troyano a través de una página Web“.

 

Spabot.AS es otro peligroso troyano que suelta varios archivos en el sistema. Uno de ellos es el archivo original del troyano. Éste, se encarga de comprobar si existe una conexión a Internet y, en caso afirmativo, comienza a enviar spam. Esos correos basura venden un medicamento e intentan dirigir al usuario a una determinada Web donde, supuestamente, podrá comprarlo.

 

Otro de los archivos es una librería DLL que se encarga de modificar las capas LSP (Layered Service Provider o Proveedor de Servicios de Capa) para filtrar las comunicaciones.

 

Esas LSP son las encargadas de controlar las comunicaciones de red que realizan las diferentes aplicaciones instaladas. Es decir, esta modificación permite al troyano conocer, por ejemplo, qué información intercambia Internet Explorer con los servidores o interceptar los mensajes de correo que se envíen desde Outlook.

 

Mhubs.A es un gusano que, para engañar al usuario, se distribuye utilizando el típico icono de “Mi PC” de Windows. Si el usuario lo ejecuta, el gusano abre una ventana con la misma información que haya en la carpeta real de “Mi PC”. Sin embargo, a la vez, estará creando copias de sí mismo en todas las unidades físicas y mapeadas que estén conectadas al computador.

 

Crea un archivo que se inyecta en el Explorador de Windows y que permite al gusano ejecutarse cada vez que el usuario abra esa herramienta. En los computadores con sistema operativo Windows 98, el sistema pedirá confirmación al usuario antes de realizar esta ejecución, ya que identifica el malware como un ActiveX Control. Sin embargo, en Windows XP la infección es instantánea y no tiene ningún síntoma visible.

 

Este gusano, además, realiza varias modificaciones en el registro de Windows. Una de ellas le permite esconder las extensiones de los archivos, para que no se puedan ver desde Windows. Además, es capaz de marcar como ocultas las copias que realiza en las diferentes unidades.

Sorry, the comment form is closed at this time.

 
A %d blogueros les gusta esto: