El archivo adjunto es un archivo ejecutable, camuflado bajo un icono de Microsoft Word, que oculta una infección detectada por ESET, llamada Win32/Oficla.ID. Este troyano intenta insertar código en procesos de ejecución para así descargar y ejecutar código arbitrario, al igual que variantes anteriores de este mismo troyano.

Esta variante modifica el registro del system.ini agregando lo siguiente: Shell=explorer.exe rundll32.exe yise.ero mpgyjp, además, un proceso llamado taskeng.exe alojado en la carpeta c:\Windows\System32 intenta conectase a Internet para descargar ese código malicioso.

Desde el departamento técnico de ESET en Ontinet.com advertimos a los usuarios de este nuevo intento de infección haciendo uso de la ingeniería social. Esta infección se encuentra en el Top 5 de infecciones detectadas en la última semana, tal y como pueden observar en nuestra página Virusradar.com.

David Sánchez

Esta nueva familia de robots de DDos está operativa desde mayo y desde entonces en sus sistemas sandbox se han detectado más de 70 ejemplares de la misma.

Algunas características de este código malicioso son las siguientes:

• No utiliza un empaquetador
• El archivo suele ser un ejecutable de 37,888 bytes de tamaño
• Uso de diferentes MD5

Las funciones más interesantes que realizan son las siguientes:

• Guarda una copia oculta del propio ejecutable en la ruta C:\Windows\System32 con un nombre aleatorio pero que siempre empieza por “A” seguido de 8 a 10 letras al azar en minúsculas.
• Se crea en el Startup de Windows una copia de ese archivo con un nuevo nombre que empieza siempre por la cadena “360”.
• Se ejecuta de forma automática la consola “cmd.exe” y se procede a la eliminación del archivo principal y se cierra.
• El segundo proceso, creado en el directorio de Inicio, establece e inicia las comunicaciones con el servidor.
• El tercer proceso crea un ejecutable por lotes MS-Dos llamado 9.bat y alojado en el directorio raíz C:\. Este ejecutable contiene los comandos para crear un nuevo servicio asociado al ejecutable oculto creado en C:\Windows\System32, además el servicio está configurado para ejecutarse automáticamente.
• Un cuarto proceso se inicia como consecuencia del último servicio y detecta algoritmos de exclusión mutua y los aborta.
• En este punto, el programa malicioso se instala como un servicio (que se inicia automáticamente al momento del arranque), así como un archivo normal que residen en el directorio de Inicio del usuario, que también se ejecuta automáticamente al iniciar sesión.

Hasta la fecha, han observado más de 180 víctimas de estos ataques DDos, la mayoría de los cuales se encuentran en China, la distribución por países de la víctima direcciones IP es el siguiente:

China – 126
Estados Unidos – 32
Corea del Sur – 9
Alemania – 5
Hong Kong – 4
Egipto – 2
Países Bajos – 2
Taiwán – 1
Rumanía – 1
Bolivia – 1

Desde el departamento técnico de ESET en Ontinet.com les aconsejamos ser cautos al abrir correos electrónicos no deseados y acceder a sus enlaces o adjuntos sin disponer de una protección antivirus activa y correctamente actualizada.

Si desean información más completa sobre este ataque y además conocer los detalles de cómo se realiza la denegación de servicios a los distintos host afectados, pueden acceder pulsando aquí.

David Sánchez

En nuestro laboratorio hemos recibido bastantes mensajes con diferentes artistas en el asunto pero siempre con el mismo mensaje en inglés. En ese mensaje se nos informa de que una persona famosa (Madonna, Jeniffer Lopez, Justin Timberlake, Miley Cyrus, etc.) ha fallecido junto con otras 34 personas en un accidente aéreo cuando intentaban aterrizar en el aeropuerto de Dubrovnik, debido a una intensa lluvia y pobre visibilidad. Obviamente, esta noticia es falsa y solo pretende captar la atención del usuario para que ejecute el archivo adjunto.

El archivo adjunto es un fichero .html que, en el caso de que lo ejecutemos, intentará acceder a una web maliciosa alojada en un dominio de México y, una vez allí, descargar un troyano que es detectado como HTML/IFrame.F por las soluciones de seguridad de ESET. En el momento de escribir este artículo, el sitio ya era detectado y bloqueado por la mayoría de navegadores actuales pero algunos sistemas con navegadores antiguos como Internet Explorer 6 podrían no alertar al usuario de esta amenaza.

La propagación de este tipo de amenazas, camufladas en archivos html es una tendencia bastante frecuente en los últimos meses. Al no ser una extensión de las que los usuarios consideran peligrosas, la posibilidad de que pulsen sobre estos archivos es bastante mayor que en correos con otro tipo de ficheros adjuntos. Asimismo, a muchos filtros antispam aun les cuesta detectar amenazas en estos archivos puesto que el código malicioso suele encontrarse en un enlace preparado con ese fin y no en el correo. Las soluciones de seguridad de ESET detectan a los archivos adjuntos html como un troyano JS/TrojanDownloader.Pegel.BZ.

Desde el laboratorio de ESET en Ontinet.com aconsejamos a los usuarios que no se dejen llevar por el morbo que suelen provocar estas falsas noticias propagadas por email o, más recientemente, redes sociales como Facebook, Tuenti o servicios como Twitter. Los creadores de malware siempre intentarán aprovecharse de la curiosidad de la gente para propagar sus creaciones, así que lo mejor es no seguirles el juego. Adicionalmente, la descarga e instalación de un antivirus capaz de frenar este tipo de amenazas es una defensa esencial para mantener nuestros sistemas protegidos cuando nuestra curiosidad nos juega una mala pasada.

Josep Albors

La técnica usada no presenta ninguna novedad con respecto a otras usadas con anterioridad. Se nos envía un correo (bastante mal redactado, todo sea dicho) simulando ser una notificación de la Guardia Civil, instándonos a descargar un archivo desde un enlace proporcionado en el propio correo. Posiblemente, este correo hubiese pasado bastante desapercibido si no fuese por el remitente, suplantado usando técnicas de spoofing para hacer creer a los usuarios que este email proviene de alguien de confianza.

Ante el temor de que este archivo que se nos invita a descargar sea alguna denuncia o multa, es más que probable que muchos usuarios piquen en el anzuelo. No obstante, cuando procedemos a realizar la descarga aparecen pistas que nos pueden hacer pensar que, tal vez, el correo no venga de quien dice ser. Si nos fijamos en la dirección desde la cual se descarga el archivo, comprobaremos que no tiene nada que ver con el dominio de la Guardia Civil. Además, el archivo que se descarga es un ejecutable en lugar de un documento en formato .doc, .pdf o similar. Esto no quiere decir que estos otros tipos de archivos no puedan contener malware, pero es lógico pensar que un archivo .exe poca relación tiene con un documento.

Si optamos por descargar el archivo y lo ejecutamos, nuestro sistema quedará infectado con un código malicioso que las soluciones de seguridad de ESET detectan como un troyano Win32/TrojanDownloader.Banload.PFI. Una vez nuestro sistema esté infectado con este malware, procederá a descargarse más archivos maliciosos sin nuestro conocimiento además de robar información sensible de nuestro sistema como usuarios y contraseñas o direcciones de correo electrónico.

A pesar de que la técnica usada para propagarse no es nada novedosa, el uso de un remitente de confianza sigue siendo útil para engañar a los usuarios. Es por eso que, desde el laboratorio de ESET en Ontinet.com, aconsejamos desconfiar siempre de este tipo de correos y revisar con atención cualquier aspecto sospechoso del mismo (enlaces que no se correspondan al dominio del remitente, descarga de archivos de extensión diferente a la que nos esperamos, etc.). Asimismo, contar con un antivirus actualizado, puede evitar que nos infectemos si pulsamos sobre el enlace malicioso.

Josep Albors

Entre la multitud de emails que diariamente nuestro servidor de correo cataloga como spam, encontramos uno que nos llama la atención. Este correo dice provenir de la entidad Caja Cantabria y nos informa del ingreso de una cantidad (variable dependiendo del correo recibido) en nuestra cuenta.

Independientemente de que el usuario sea cliente de esa entidad, la simple curiosidad por ver si realmente se nos ha ingresado esa cantidad hace picar a más de uno. No es de extrañar que una cantidad nada despreciable de usuarios muerda el anzuelo y acceda a una web preparada para la ocasión. En esta web vemos como la referencia del banco pasa de Caja Cantabria al Banco de España, aunque, si nos fijamos atentamente, el dominio esta albergado en Rusia (pulse sobre la imagen para ampliarla).

Una vez aquí, lo único que se nos permite hacer es descargar un archivo ejecutable también albergado en el mismo dominio ruso. Si nos fijamos en estos detalles antes de descargar archivos de sitios sospechosos, podremos evitar muchas infecciones.

Si descargamos y ejecutamos este archivo, nuestro sistema se verá infectado por un malware del tipo bot, haciendo que nuestra máquina pase formar parte de un ejército de ordenadores zombies a disposición de un botmaster. Las soluciones de seguridad de ESET catalogan a este código malicioso como una variante de Win32/Kryptik.FZS.

Desde el laboratorio de ESET en Ontinet.com nos gustaría recordar que, cada día, miles de ordenadores caen en las redes de las botnets por infecciones parecidas. Es necesario que nosotros, como usuarios, estemos educados para prevenir estos engaños y descarguemos e instalemos un antivirus que nos permita bloquear las amenazas en el caso de que nos confiemos y pulsemos sobre ese enlace malicioso.

Josep Albors

Actualización 19/08: Horas después de publicar esta entrada observamos como se están enviando múltiples correos de este tipo pero usando como remitentes a la mayoría de cajas y bancos más conocidos. Aconsejamos eliminar cualquier correo parecido al que hemos analizado en este artículo, aunque como remitente aparezca su entidad bancaria.

Desde luego, es una curiosa técnica de ingeniería social para hacer que la gente abra el archivo adjunto infectado pero resulta igualmente efectiva. Si caemos en la trampa, abrimos el archivo comprimido y ejecutamos su contenido, nuestro sistema se infectará con el troyano que los productos de seguridad de ESET detectan como Win32/TrojanDownloader. Bredolab.AN. Este tipo de malware permanece activo en nuestro sistema y se conecta a servidores externos para descargar nuevos ejemplares de malware aunque también se le ha visto asociado a otros casos de códigos maliciosos como los falsos antivirus.

La propagación masiva de este tipo de correos maliciosos es solo una de las tareas que realizan los ordenadores que integran una botnet y, a pesar de ser una técnica bastante rudimentaria comparada con los vectores de infección más recientes, sigue siendo rentable para los creadores de malware . Para protegernos de este tipo de amenazas, desde el laboratorio de ESET en Ontinet.com, recomendamos desconfiar de este tipo de correos, así como también descargar e instalar un antivirus con capacidad de detección de este tipo de malware y sus variantes.

Josep Albors

No obstante, en las últimas semanas hemos visto como se ha ido evolucionando de un simple correo con adjunto o enlace a algo más elaborado. En este mismo blog hemos comentado algunos casos de la evolución de los métodos de propagación de este tipo de malware y en los últimos días, hemos analizado otra más.

En esta ocasión nos encontramos con un correo de una supuesta empresa de transportes que solicita que rellenemos un formulario.

Aparentemente, no se observa ninguna novedad con respecto a otros casos similares. Si pulsamos sobre el enlace para descargar el archivo .pdf se nos mostrará una ventana de descarga indicando que vamos a proceder a descargar el fichero Arquivo_DSCF3197.cpl.

Aquí observamos una diferencia con respecto a los casos de infección clásicos de este tipo de troyanos. Normalmente se procede a descargar un archivo ejecutable .exe o un documento .pdf modificado para aprovechar alguna vulnerabilidad. No obstante, en esta ocasión se usa un archivo .cpl, utilizados por Windows para representar las herramientas del panel de control.

Asimismo, la dirección web que se usa para realizar la descarga pertenece a un club de artes marciales brasileño que nada tiene que ver con la propagación de esta amenaza. Recientemente hemos visto muchas páginas webs legitimas usadas para propagar malware por lo que debemos extremar las precauciones. Está también es una novedad en este tipo de ataques ya que lo normal era preparar una dirección web concreta y no utilizar una web legítima.

La utilización de los archivos con extensión .cpl para propagar malware no es habitual y puede que esta sea una de las causa por las que, en el momento de escribir este artículo, aun pocos motores antivirus detectaban esta amenaza. Tanto ESET NOD32 Antivirus como ESET Smart Security detectan este código malicioso como el troyano Win32/TrojanDownloader.Banload.PNO.

Cabe recordar que este tipo de amenazas sigue dependiendo en gran medida de las técnicas de ingeniería social para poder propagarse. Es por eso que, desde el laboratorio de ESET en Ontinet.com recomendamos extremar las precauciones a la hora de abrir correos no solicitados y contar con la protección de un antivirus actualizado capaz de detectar este tipo de amenazas.

Josep Albors

En esta ocasión se ha suplantado la identidad de Imageshack, empresa legítima bastante usada para el almacenamiento de imágenes en sus servidores. Como si de un correo de esta empresa se tratase, recibimos en nuestro buzón un mensaje similar a este:

En el correo se nos indica que hemos conseguido registrar una cuenta en Imageshack y se nos proporcionan los datos de acceso y un enlace para acceder a la misma. Si pulsamos sobre el enlace veremos cómo accedemos a una web donde se nos intentará mostrar un supuesto vídeo y solicitará la descarga de un archivo ejecutable (adobe_flash_install.exe) camuflado de codec flash.

Si contamos con un antivirus capaz de detectar esta amenaza, la bloqueará y eliminará, evitando que ejecutemos el archivo e infectemos nuestro sistema. Los productos de seguridad de ESET detectan esta amenaza como un troyano Win32/Spy.Zbot.YW, malware con funciones de software espía que se encarga de recolectar información cuando el usuario navega por determinados sitios webs.

Este tipo de amenazas suelen ser bastante frecuentes y se aprovechan de la confianza del usuario en el remitente del mensaje para poder propagarse con más facilidad. Desde el laboratorio de ESET en Ontinet.com aconsejamos desconfiar de este tipo de mensajes aunque el remitente nos inspire confianza, así como descargar e instalar un antivirus que permita detectar las amenazas que se esconden tras los enlaces maliciosos.

Josep Albors.

En el correo, también se muestra que para recuperar el dinero enviado necesitamos imprimir el archivo adjunto y visitar la página de la agencia, pero si ejecutamos el archivo adjunto nos encontramos con algo muy distinto.

Se ejecuta automáticamente un falso antivirus llamado Security Tool. El aspecto que muestra esta aplicación ya es conocido por nuestro laboratorio de ESET en Ontinet.com, ya que hace un tiempo este mismo software fraudulento fue detectado en Internet bajo el nombre de Smart Security

Una vez se instala en nuestro equipo, realiza un supuesto análisis de las distintas unidades del sistema. Al finalizar, se muestran multitud de falsas amenazas detectadas. Para terminar el proceso de eliminación se nos insta a adquirir el producto mediante un pago y así olvidarse de estas supuestas infecciones.

Desde el departamento técnico de ESET en Ontinet.com les aconsejamos desconfiar de todo correo que haga referencia a servicios de Internet que no utilicemos. Además de no ejecutar nunca los archivos adjuntos a estos mensajes y disponer de un software antivirus actualizado.

David Sánchez

A finales de Junio, en blogs.computerworld.com aparecía un artículo muy curioso en el que se comparaban las vuvuzelas con el correo no deseado, alguno de los argumentos que mostraban, de forma muy resumida, eran los siguientes:

• Es continua e inevitable
• Propaga infecciones bacterianas y virales
• En teoría es ilegal
• El único plan viable para erradicarla es aplicar un filtro

Hoy mostramos un artículo elaborado por allspammedup.com en el que refuta la opinión expresada en computerworld, mostrando su razonamiento de por qué las vuvuzelas no son comparables al spam:

• El ruido es continuo pero evitable, además los que la usan lo hacen con alegría
• Las vuvuzelas son de plástico
• Se han convertido en una parte del fútbol que debe ser bienvenida
• Con ellas aumenta la productividad en la empresa, con el spam no

Desde el departamento técnico de ESET en Ontinet.com aconsejamos a nuestros visitantes leer detenidamente estos dos artículos, al igual que esperamos que echen pelillos a la mar y que tanto computerworld como allspammedup disfruten de este mundial que ya llega a su fin.

David Sánchez