La firma de seguridad informática española Eset anunció el descubrimiento de
un troyano que se hace pasar como una herramienta de búsqueda de MP3 del
reconocido portal Google que está siendo distribuido a través de un sitio de
Internet y ha sido publicado en diversos foros.
Los autores de este código malicioso han publicado un sitio de Internet (google-mp3search.com)
en el que anuncian la existencia de una herramienta llamada Google MP3 Search
Tool, que teóricamente sería capaz de buscar y descargar archivos MP3 desde
múltiples fuentes como ningún otro producto de descarga e intercambio de
archivos podría hacerlo. En ese sitio, que luce en forma similar a los de la
empresa Google, se brinda un enlace para descargar la susodicha herramienta, la
cual promete un 99.9 % de éxito en la búsqueda de MP3 legítimos y libres de
virus.
El sitio es falso y no pertenece a Google, y la herramienta cuya descarga
brindan no es más que un troyano que al ser instalado por el usuario no mostrará
ninguna ventana mientras que comienza a recopilar contraseñas y datos de acceso
alojados en el disco rígido del usuario, almacenándolos en un archivo c:\pass.bin.
Este archivo, más una impresión de pantalla del equipo del usuario son enviados
a una dirección de correo electrónico del supuesto autor del troyano.
Para atraer la mayor atención posible, el autor del troyano ha publicado el
sitio en cuestión en varios reconocidos foros y sitios relacionados con
intercambio de archivos, como avipreview.com, icq.com, emuleforum.net, entre
otros.
La utilización del nombre de Google para darle credibilidad a la
“herramienta” ha sido una técnica muy ingeniosa para que los usuarios
desprevenidos confiaran en el archivo, y lo descargaran y ejecutaran.
Se han conocido reportes de usuarios infectados pero no como para hablar de una
epidemia, pero es importante que los usuarios estén prevenidos y no descarguen
este archivo del sitio antes mencionado aunque se hable a favor de él en foros
especializados.
Es posible corroborar que la página para descargar el troyano sigue activa
–hasta el momento de edición de este artículo-, aunque el servidor a través del
cuál envía los datos recolectados no parece estarlo. Sin embargo, dado que la
página principal sigue en línea, es posible que el autor del troyano lo
modifique para utilizar otro método para reportar los datos recolectados de los
equipos infectados. Por esto, los usuarios deben estar alerta para evitar este
engaño, y otros de índole similar.
La utilización de nombres de compañías conocidas para llamar la atención de los
usuarios es una técnica ampliamente utilizada por los creadores de códigos
maliciosos, a fin de lograr que sus creaciones se ejecutan y distribuyan. Es por
ello que los usuarios no deben siempre confiar en los mensajes que reciban por
correo electrónico o encuentren en foros hablando de herramientas de este tipo,
dado que pueden tratarse de códigos maliciosos.
|