La firma de seguridad informática española Eset anunció el descubrimiento de un troyano que se hace pasar como una herramienta de búsqueda de MP3 del reconocido portal Google que está siendo distribuido a través de un sitio de Internet y ha sido publicado en diversos foros.

Los autores de este código malicioso han publicado un sitio de Internet (google-mp3search.com) en el que anuncian la existencia de una herramienta llamada Google MP3 Search Tool, que teóricamente sería capaz de buscar y descargar archivos MP3 desde múltiples fuentes como ningún otro producto de descarga e intercambio de archivos podría hacerlo. En ese sitio, que luce en forma similar a los de la empresa Google, se brinda un enlace para descargar la susodicha herramienta, la cual promete un 99.9 % de éxito en la búsqueda de MP3 legítimos y libres de virus.

El sitio es falso y no pertenece a Google, y la herramienta cuya descarga brindan no es más que un troyano que al ser instalado por el usuario no mostrará ninguna ventana mientras que comienza a recopilar contraseñas y datos de acceso alojados en el disco rígido del usuario, almacenándolos en un archivo c:\pass.bin. Este archivo, más una impresión de pantalla del equipo del usuario son enviados a una dirección de correo electrónico del supuesto autor del troyano.

Para atraer la mayor atención posible, el autor del troyano ha publicado el sitio en cuestión en varios reconocidos foros y sitios relacionados con intercambio de archivos, como avipreview.com, icq.com, emuleforum.net, entre otros.

La utilización del nombre de Google para darle credibilidad a la “herramienta” ha sido una técnica muy ingeniosa para que los usuarios desprevenidos confiaran en el archivo, y lo descargaran y ejecutaran.

Se han conocido reportes de usuarios infectados pero no como para hablar de una epidemia, pero es importante que los usuarios estén prevenidos y no descarguen este archivo del sitio antes mencionado aunque se hable a favor de él en foros especializados.

Es posible corroborar que la página para descargar el troyano sigue activa –hasta el momento de edición de este artículo-, aunque el servidor a través del cuál envía los datos recolectados no parece estarlo. Sin embargo, dado que la página principal sigue en línea, es posible que el autor del troyano lo modifique para utilizar otro método para reportar los datos recolectados de los equipos infectados. Por esto, los usuarios deben estar alerta para evitar este engaño, y otros de índole similar.

La utilización de nombres de compañías conocidas para llamar la atención de los usuarios es una técnica ampliamente utilizada por los creadores de códigos maliciosos, a fin de lograr que sus creaciones se ejecutan y distribuyan. Es por ello que los usuarios no deben siempre confiar en los mensajes que reciban por correo electrónico o encuentren en foros hablando de herramientas de este tipo, dado que pueden tratarse de códigos maliciosos.