PandaLabs ha detectado la nueva variante EJD de la familia de troyanos
Downloader que, como novedad, se presenta ante el usuario simulando ser el
parche que corrige la vulnerabilidad Plug and Play de Windows. Esta
vulnerabilidad fue aprovechada hace tan sólo unos días por los gusanos Zotob e
IRCBot.KC y KD para introducirse en los sistemas informáticos, provocando un
nivel de alerta naranja de virus ya que fueroncapaces de afectar a medios de
comunicación como CNN, ABC y The New York Times, instituciones como el Congreso
de USA, o empresas como Caterpillar, entre otras.
Según Luis Corrons, director de PandaLabs: "Se trata de una nueva forma de
aprovechar la vulnerabilidad Plug and Play, aunque en este caso haciendo uso de
la ingeniería social, una estrategia que ha conseguido provocar epidemias de
importancia, ya que depende de los usuarios el ejecutar o no el archivo
recibido".
En realidad, como la mayoría de los troyanos, Downloader.EJD no tiene capacidad
de propagación propia, sino que han sido uno o varios usuarios maliciosos
quienes han preparado y enviado masivamente el correo electrónico que contiene a
dicho troyano.
Concretamente dicho mensaje presenta las siguientes características:
Remitente:
[email protected]
Asunto:
What You Need to Know About the Zotob.A Worm
Cuerpo:
What You Should Know About Zotob
Published: August 14, 2005 | Updated: August 19, 2005 Severity VirusGreen
What the levels mean
Supported Software Affected
Windows All Version
Microsoft Security Advisory 899588
Zotob.A
Zotob.B
Zotob.C
Zotob.D
Zotob.E
Bobax.O
Esbot.A
Rbot.MA
Rbot.MB
Rbot.MC
Zotob is a worm that targets All Windows computers and takes advantage of a
security
issue that was addressed by Microsoft Security Bulletin MS05-039. This worm and
its
variants install malicious software, and then search for other computers to
infect.
Important If you have installed the update released with Security Bulletin
MS05-039,
you are already protected from Zotob and its variants. If you are using any
supported version of Windows, you are not at risk from Zotob and its variants.
Use the Microsoft Windows Malicious Software Removal Tool to search for and
remove
the Zotob worm and its variants from your hard drive.
This tool checks for and removes infections from Zotob.A through Zotob.E as well
as
Bobax.O, Esbot.A, Rbot.MA, Rbot.MB, and Rbot.MC. It also checks for and removes
all
versions of malicious software that the tool has been updated to remove.
Por su parte, el archivo adjunto a dicho mensaje lleva por nombre MS05-039.exe,
que se corresponde con la referencia dada por Microsoft a la vulnerabilidad Plug
and Play.
Sin embargo, y dado que el mencionado correo ha sido preparado de forma manual
por parte de quienes lo han enviado masivamente, es muy posible que puedan
detectarse mensajes con características distintas y que también contengan a
Downloader.EJD.
En caso de que el usuario ejecute el archivo recibido, el troyano se copia en el
sistema bajo el nombre svchst.exe, y procede a ejecutarse. En ese momento,
intenta desactivar determinadas aplicaciones de seguridad que se encuentren
instaladas en el sistema y descarga, desde una dirección web, un fichero llamado
test.exe. Este último contiene otro troyano, llamado Agent.AII, que crea varios
archivos en el sistema, cuya función es robar información transmitida a través
de páginas web en cuyas URLs se encuentren términos como: e-gold, e-bullion,
intgold, 1MDC, Pecunix, GoldMoney, Virtualgold, NetPad, paymer, entre otros.
Además Agent.AII introduce varias entradas en el registro de Windows con el
objetivo de asegurar su ejecución en todo momento. |