Se trata de un virus que una vez ingresado a la
computadora descarga una increíble cantidad de "compañeros" hasta
volver inservible a la PC. Recomiendan estar alertas
Si pensaba que en materia de ataques cibernéticos todo estaba dicho, una vez más se equivocó.
La
empresa Panda Software informó sobre el descubrimiento de un
sofisticado ataque en cadena a partir de un nuevo troyano, SpamNet.A,
descubierto en una página web alojada en un servidor de EE.UU., y cuyo
dominio aparece registrado desde una dirección de Moscú.
El
ataque es de una gran complejidad ya que despliega una estructura en
árbol, para infectar hasta con 19 especies distintas de malware. Su
principal objetivo es la difusión de correo basura (spam), para el que
-por medio de este complejo entramado- consiguió recopilar hasta el
momento más de 3 millones de direcciones de correo. Para detener las
infecciones, Panda Software contactó a las compañías que alojan los
ficheros y páginas que componen la parte principal de este ataque
organizado.
El ataque
La cadena de la
infección comienza al visitar la mencionada página web, cuando ésta,
por medio del tag Iframe, trata de abrir dos nuevas páginas. Esto
desencadena dos procesos paralelos, cada uno asociado a una de las
páginas citadas:
1. En el momento en que se abre la primera de
las páginas, ésta a su vez trata de abrir otras 6 páginas, que
redireccionan al usuario a diversas páginas de contenido para adultos.
Además, lleva al usuario a una séptima página, que desencadena el
proceso principal de ataque. Esta página utiliza dos posibles
vulnerabilidades para llevar a cabo sus acciones, Ani/anr y Htmredir.
En cualquiera de los dos casos, si el ataque tiene éxito, instalará y
ejecutará en el equipo los ficheros Web.exe o Win32.exe, que son
idénticos.
Al ser ejecutado, Web.exe crea 7 ficheros en el equipo, siendo uno una copia de sí mismo. En el caso de los 6 restantes:
a.
Los dos primeros son binariamente idénticos, corresponden a
Downloader.DQY, y ambos crean en el directorio del sistema operativo un
fichero denominado svchost.exe, que es en realidad el troyano
Downloader.DQW. Éste se registra como un servicio del sistema, que cada
10 minutos intenta descargar y ejecutar ficheros de cuatro direcciones
web diferentes, de las cuales dos no estaban disponibles en el momento
de escribir estas líneas, y las otras dos dirigen a:
i. El troyano Multidropper.ARW.
ii. El troyano Sapilayr.A.
b. El tercero es un adware, Adware/SpySheriff.
c.
El cuarto, correspondiente al troyano Downloader.DYB, trata de buscar
la identificación de la máquina. Si ésta es una máquina del Reino Unido
se descarga y ejecuta un dialer, identificado como Dialer.CHG. En caso
de que la máquina no pertenezca al Reino Unido se descarga otro fichero
diferente, que ha sido identificado como Dialer.CBZ. Este tipo de
ficheros trata de desviar a usuarios que se conectan a Internet por
medio de sistemas de marcación telefónica hacia números alternativos,
con tarificaciones abusivas.
d. El quinto, correspondiente al
troyano Downloader.CRY, crea dos ficheros. El primero crea en el
directorio c:windowssystem un fichero denominado svchost.exe. El
segundo ha sido identificado como el troyano Lowzones.FO.
e. El sexto, identificado como el troyano Downloader.EBY, crea a su vez otros seis ficheros, que resultan ser:
i.
El primero es el troyano Downloader.DLH, que por medio de una
aplicación consigue recopilar direcciones de correo del ordenador
afectado y enviarlas a una dirección remota por medio de FTP. En el
momento de escribir estas líneas había recopiladas más de 3 millones de
direcciones.
ii. El segundo, el troyano Agent.EY, se instala en
el sistema y se ejecuta en cada inicio, visitando a continuación una
página, que podría ser utilizada como recopilación de las IPs de los
equipos infectados, a modo de estadística.
iii. El tercero, el
troyano Clicker.HA, tras ser ejecutado, espera 10 minutos y a
continuación abre una página de contenido para adultos, volviendo a
abrirla cada 40 segundos.
iv. El cuarto corresponde a un dialer, Dialer.CBZ.
v. El quinto es un adware, Adware/Adsmart.
vi.
El sexto, el troyano Downloader.DSV, descarga de una dirección un
fichero correspondiente al backdoor Galapoper.C, y que es el que
ejecuta la parte principal del ataque, el envío de spam. Éste comprueba
si existe conexión a Internet, y en caso afirmativo visita una de las
tres páginas que posee especificadas en su código y, en función del
equipo infectado, se descarga un fichero. Esto permite llevar a cabo
ataques personalizados, e incluso puede contener otras instrucciones o
actualizaciones del backdoor.
Galapoper.C, además, inicia un
hilo principal, y dos secundarios: en el principal comprueba
periódicamente la disponibilidad de contenidos en las tres páginas
indicadas anteriormente. Por medio de los hilos secundarios realiza,
por una parte envío de spam (utilizando el ordenador infectado como
emisor), y por otra parte recopila información del servidor
(direcciones de correo, asuntos, cuerpos de los mensajes) para los
mensajes de spam, cada 10 minutos o cada vez que envíe 70.000 correos
de spam.
2. La segunda de las páginas redirecciona al usuario a
otra, que trata de utilizar la vulnerabilidad de ByteVerify para
intentar ejecutar un fichero ubicado en una URL. A su vez, invoca por
medio de un tag de HTML una nueva página, que no está disponible en el
momento de escribir estas líneas, por lo que su contenido no ha podido
ser analizado.
Además, abre otra página, cuyo código se
encuentra enmascarado mediante una función de Javascript, que utiliza
la vulnerabilidad ADODB.Stream para, por medio de un fichero situado en
otra página web distinta, tratar de sobrescribir el programa Windows
Media Player si éste está disponible en el equipo.
Sin precedentes
De
acuerdo a Luis Corrons, director de PandaLabs, "la elaboración de este
ataque supera con mucho lo que es habitual. Este es uno de los ataques
organizados más complejos que hayamos visto nunca".
Además,
comenta que "la cantidad de direcciones recopilada para el envío de
spam, más de 3 millones, indica que el creador ha conseguido un
importante éxito en sus propósitos.
Como viene siendo habitual
en los ataques en los últimos tiempos, se prima la consecución de
beneficio económico por encima de la difusión en los medios, y el spam
es una de las principales fuentes de ingresos de los creadores de
malware".
Como consejo, apunta que "además de poseer una
solución antivirus, es fundamental tener el equipo actualizado, ya que
SpamNet.A basa buena parte de su éxito en el aprovechamiento de
vulnerabilidades".
|
Geo Noticias 
