El fabricante de software antivirus PandaLabs advirtió en su informe semanal
de la amenaza de cinco nuevos códigos maliciosos, tres de los cuales sustraen
información de computadoras personales, así como de empresas.
Se trata de los troyanos Ldpinch.RE y Rizalof.DC; el backdoor Lootseek.DD, el
gusano Ircbot.ZN y el adware (software que muestra publicidad en los equipos)
PornMagPass.
PandaLabs explicó que Ldpinch.RE es un troyano que roba claves de acceso y otros
datos confidenciales de la computadora que infecta.
Para ello graba las pulsaciones de teclas del usuario, y monitoriza las páginas
de Internet visitadas. No se propaga de manera automática, sino que requiere la
intervención del usuario cuando éste abre archivos adjuntos de correos
electrónicos, descarga de Internet o de redes P2P y archivos enviados mediante
programas de mensajería instantánea.
Entre sus acciones maliciosas están que intenta robar las contraseñas de acceso
al sistema operativo a través del archivo llamado SAM (Security Access manager)
de Windows.
También, obtiene las contraseñas almacenadas en programas como Outlook o The
Bat, y varios programas ICQ. Ldpinch.RE monitoriza además las páginas de
Internet visitadas.
Si detecta que el usuario ingresa a determinadas entidades bancarias procede a
registrar la información enviada, como las claves de acceso.
Toda la información recopilada por el troyano es remitida al atacante por
e-mail. El troyano permanece residente en el sistema, informando a su autor que
la máquina está infectada, pudiendo además descargar otros archivos maliciosos.
Rizalof.DC es un troyano que no se propaga por sus propios medios, dado que
llega a los sistemas infectados tras ser descargado por el backdoor Lootseek.DD.
Al ejecutarse convierte la máquina del usuario en una plataforma para enviar
spam. Para ello, se conecta a varias páginas web a finde descargar listas de
nombres y direcciones de correo electrónico que serán utilizadas después como
remitentes o destinatarios de spam.
Por otra parte, Lootseek.DD es un backdoor que descarga y ejecuta al troyano
Rizalof.DC. Para ello, se conecta a un servidor IRC, lo cual le permite recibir
comandos de un atacante, así como descargar archivos potencialmente dañinos en
el sistema.
Este backdoor requiere de una acción del usuario para infectar el sistema, como
abrir archivos adjuntos de correos electrónicos descargados de Internet o en
redes P2P.
Para evitar ser detectado y eliminado, Lootseek.DD finaliza una serie de
procesos relacionados con programas antivirus, así como de actualización de
Windows. Crea en el equipo infectado los archivos Smss.exe (una copia del
backdoor) , y Nvsvcd.Exe, y se registra en el sistema como un servicio llamado “
Windows Log ” .
|