El troyano realiza un ataque de gran complejidad, ya que despliega una
estructura en árbol, para infectar hasta con 19 especies distintas de malware a
través del envío masivo de correo basura o spam, con lo que hasta el momento ha
conseguido recopilar más de 3 millones de direcciones de correo.
Los usuarios al visitar la página Web, inician una cadena de infección, que por
medio de un tag Iframe se tratan de abrir dos nuevas páginas. Las mismas
desencadenan dos procesos paralelos, cada uno asociado a una de las páginas
citadas.
Al abrir la primera de las páginas, ésta a su vez tratar de abrir otras seis,
que redireccionan al usuario a diversas páginas de contenido para adultos.
Además, lleva al usuario a una séptima página, que desencadena el proceso
principal de ataque.
Esta página utiliza dos vulnerabilidades para llevar a cabo sus acciones, Ani/anr
y Htmredir. En cualquiera de los dos casos, si el ataque tiene éxito, instalará
y ejecutará en el equipo los ficheros Web.exe o Win32.exe, respectivamente, que
son idénticos. Cuando se ejecuta el Web.exe, se crean siete archivos en la
computadora, siendo uno copia de sí mismo.
Los troyanos que se instalan en la PC son el Downloader.DQY, Downloader.DQW,
Downloader.DQW, Sapilayr.A., Adware/SpySheriff, Downloader.DYB, Downloader.CRY y
Downloader.EBY.
“La complejidad de este ataque apenas posee precedentes, la elaboración supera
con mucho lo que es habitual. La cantidad de direcciones recopilada para el
envío de spam, más de 3 millones, indica que el creador ha conseguido un
importante éxito en sus propósitos”, comentó Luis Corrons, director de PandaLabs.
Corrons opina que además de poseer una solución antivirus, es fundamental tener
el equipo actualizado, ya que el SpamNet.A basa buena parte de su éxito en el
aprovechamiento de vulnerabilidades.
|