|
| Noticias
relacionadas |
|
|
|
|
|
Dado que el sistema anti-piratería de Sony esconde archivos cuyos nombres
comienzan con '$sys$', el 'Breplibot' aprovecha los DRM para instalar el
archivo '$sys$drv.exe' en el registro de Windows. "Esto significa que para
los equipos infectados por la tecnología rootkit DRM de Sony, el archivo
instalado por el troyano es totalmente invisible. No será encontrado en ningún
tipo de listado de archivos o escaneo", advierte Ivan Macalintal,
investigador de amenazas digitales de la compañía de seguridad informática Trend
Micro. “Cada vez que se descubre un nuevo riesgo de seguridad, no
transcurre mucho tiempo hasta que es utilizado por los creadores de malware para
difundir sus creaciones”, comenta Luis Corrons, director de PandaLabs,
añadiendo que “la rapidez con que éste ha comenzado a utilizarse, nos
indica una probabilidad muy elevada de que aparezcan muchas más especies que
traten de aprovecharse del sistema anticopia que ha sido distribuido a través de
CD de música convencionales" ¿Como opera? El sistema anticopia de
Sony, que se instala cuando se ejecuta en el ordenador algún CD de música
protegido, tiene como efecto ocultar cualquier archivo cuyo nombre comience por
los caracteres $SYS$. Así, puede controlar -sin que el usuario sea consciente de
ello- el número de copias que se hacen del CD. Es precisamente esta
característica de ocultamiento la que aprovechan los troyanos Ryknos. En caso de
que un usuario ejecute un archivo conteniendo alguno de estos códigos
maliciosos, se copiarán en el sistema con los nombres $sys$drv.exe (Ryknos.A) o
$sys$xp.exe (Ryknos.B). De esta manera, se dificulta en gran medida su
localización y posible eliminación.
Cuando se instalan en el ordenador, estos troyanos se conectan al puerto 8080 de
determinadas direcciones IP, de manera que pueden recibir y ejecutar las órdenes
de un atacante remoto, que pueden ir desde la descarga y ejecución de archivos,
hasta el borrado de determinados ficheros.
Se da la circunstancia de que, debido a un error de programación, Ryknos.A no es
capaz de ejecutarse cuando el sistema es reiniciado. Sin embargo, Ryknos.B es
completamente funcional.
Como se distribuye
El malware es enviado en un correo electrónico que simula ser de una importante
revista de negocios, y que le solicita al empresario que verifique si su foto es
la correcta, así la incluyen en la edición de diciembre.
De: [uno de los
siguientes]
TotalBusiness
BusinessTotal
Asunto: [uno de los siguientes]
Requesting Photo Approval
Photo Approval Required
Datos adjuntos: [uno de los
siguientes]
Article Photo.exe
article_december_3621.exe
Photo+Article.exe
Texto del mensaje:
Hello,
Your photograph was forwarded to us as part of an
article
we are publishing for our December edition of Total
Business Monthly.
Can you check over the format and get back to us with
your approval or any changes? If the picture is not to
your liking then please send a preferred one. We have
attached the photo with the article here.
Kind regards,
Jamie Andrews
Editor
www.TotalBusiness.co.uk
**********************************************
The Professional Development Institute
**********************************************
|
|
|
|
Si el usuario abre el archivo adjunto, el troyano se instala en la PC,
tomando control de un puerto que permitirá a un usuario malintencionado tener
acceso total a la máquina infectada.
|
Mundo Digital
