MSN MESSENGER: Otro foco de infección

Una vez más, vamos a mostrar un nuevo malware que se aprovecha de la ingeniería social, para así intentar infectar al usuario. Este caso que nos ocupa afecta a la aplicación de mensajería instantánea “MSN Messenger”.

El funcionamiento de este malware, una vez el usuario se infecta, es el siguiente:

La máquina infectada envía mensajes personalizados, como el que mostramos en la imagen, a todos los contactos que tenemos agregados en MSN Messenger. Se trata de un enlace a una página web programada en PHP que muestra la dirección de correo del usuario al que se envía el falso mensaje de Messenger.

El usuario, confiado al ver su propia dirección de correo en el mensaje, decide pulsar sobre el hipervínculo. Al pulsar sobre el enlace desde un equipo bien protegido ocurre lo siguiente:

El Antivirus actualizado detecta un Troyano que, en este caso, tiene por nombre “IRC/SdBot Troyano”.
Otros usuarios sin antivirus no correrían la misma suerte y quedarían infectados a los pocos segundos, descargando el troyano en cuestión, “fxsteller.exe”.

La máquina infectada tratará de continuar la cadena, es decir, continuar distribuyendo la infección mediante la aplicación de mensajería instantánea.

Para ello dicha infección utiliza el Troyano descargado “fxsteller.exe”, que al mismo tiempo descarga otro tipo de malware. En nuestro caso se trataba del archivo “hidden.exe”, aunque existen diferentes versiones.

IXP000.TMP\ff.exe
IXP000.TMP\newz.exe
IXP000.TMP\testx.exe
IXP000.TMP\hidden2.exe
IXP000.TMP\NEWSPR~1.EXE
IXP000.TMP\hidor.exe
IXP000.TMP\hidden.exe

Éste se guarda en nuestra máquina dentro de los archivos temporales de Windows generando una carpeta nueva llamada “IXP00x.TMP”.

Todas estas versiones se dedican al envío masivo de mensajes mediante MSN Messenger, como hemos comprobado en la primera captura de pantalla, y, para eliminarlas, tendremos que “matar” el proceso que apunta hacia éstas.

Si tenemos instalado un cortafuegos, al tratar el proceso “fxsteller.exe” descargar el troyano “hidden.exe”, pasará lo siguiente:

El cortafuegos instalado en el sistema puede convertirse en una herramienta de seguridad muy eficaz, detectando en este caso el tráfico de red por parte de “fxsteller.exe”.

En el caso de no disponer de un cortafuegos, el proceso “fxsteller.exe” colapsará el tráfico de red, debido a que este mismo proceso no parará de hacer peticiones para descargar la aplicación “hidden.exe” o cualquiera de sus variantes.

Mientras, por su parte,”hidden.exe” una vez descargado, enviará mensajes a todos nuestros contactos continuando la cadena y colapsando los procesos activos de nuestro equipo.

Para eliminar la infección simplemente tenemos que seguir los siguientes pasos:

1.- Acceder a la configuración del sistema (Inicio – Ejecutar – msconfig – Aceptar), desactivar del inicio las siguientes entradas y reiniciar el sistema:

2.- Eliminar los archivos temporales, entre ellos “IXP000.TMP\hidden.exe”.

3.- Eliminar “fxsteller.exe” que se encuentra en C:\Windows\fxsteller.exe.

4.- Por último aconsejamos una limpieza del registro y archivos temporales con alguna herramienta. Existen múltiples herramientas para ello totalmente gratuitas, como Ccleaner, RegSeeker, etc.

Recomendaciones:
Desde el departamento técnico de Ontinet.com recomendamos preguntar siempre a nuestros contactos de Messenger sobre la autenticidad de los enlaces o archivos enviados, disponer de un buen antivirus actualizado y, a ser posible, un cortafuegos.

Javier Parra.