El híbrido Eyeveg.D es un sofisticado malware que tiene dos vertientes: la de
troyano, de cara a la ejecución de acciones contra el ordenador afectado, y la
de gusano, que utiliza para su propagación. Este tipo de hibridaciones ente
distintas especies de malware comienzan a ser habituales, ya que los creadores
de malware buscan una mayor capacidad y versatilidad en sus acciones.
Eyeveg.D se instala en el sistema mediante un fichero DLL y un ejecutable EXE,
con un nombre aleatorio (lo que dificulta, tanto su localización, como su
desinfección), y modifica claves en el registro para asegurar su ejecución en
cada inicio del sistema. Una vez en ejecución, trata de ocultarse de la lista de
tareas del sistema, para pasar desapercibido al usuario, mediante la ejecución
de un proceso que, sin embargo, sólo le permite llevar a cabo la ocultación en
sistemas Windows 9x (95, 98 y Millenium).
Su acción como troyano comienza con la carga del fichero DLL como un ‘plugin’ (o
componente adicional) del navegador, aprovechando una funcionalidad del mismo,
lo que le permitirá la captura de una serie de eventos y acciones llevados a
cabo por el ordenador, así como las propiedades de las sesiones del usuario en
el equipo afectado. Esto le sirve para registrar en un fichero todos los
intentos del usuario de enviar información a servidores remotos a través de
servidores seguros, como son los sitios web de los bancos, en lo que supone un
nuevo caso de phishing, y mediante el cual, es capaz de recoger datos como
números de cuenta, contraseñas, o datos de la tarjeta de crédito. Esta
funcionalidad ha sido probada y demostrada por PandaLabs, por lo que los ataques
a cuentas de usuarios ya podrían haberse producido. De modo similar, registra
las pulsaciones del teclado del usuario (keylogger), por lo que también viola la
privacidad de los afectados, pudiendo registrar todo tipo de información
confidencial, desde correos personales, a informaciones de cuentas en entidades
con portales de Internet.
Además, posee un componente backdoor, es decir, es capaz de abrir una vía por la
que recibir comandos provenientes de un usuario remoto, sin que se perciba su
actuación, lo que le dota de una gran funcionalidad. Para ello, trata de
conectar a una URL, deshabilitando el cortafuegos de Windows XP si fuera
necesario. Una vez realizada la conexión, el ordenador afectado está preparado
para recibir comandos, o incluso otros ficheros, que podrían corresponder a otra
especie de malware.
Como gusano, este malware posee su propio motor de envío de correo, y
reenviándose a sí mismo como un adjunto comprimido a todas las direcciones que
pueda conseguir del ordenador afectado, buscando en una serie de ficheros que
posee detallados en su código. Envía dichos correos haciéndose pasar por el
propio usuario afectado, y con el nombre del archivo adjunto como asunto del
mensaje. |