Actualidad

Ataque en cadena de un nuevo troyano

troyansPandaLabs informa del descubrimiento de un sofisticado ataque en cadena a partir de un nuevo troyano, SpamNet.A, descubierto en una página web alojada en un servidor de EEUU, y cuyo dominio aparece registrado desde una dirección de Moscú.

El ataque es de una gran complejidad ya que despliega una estructura en árbol, para infectar hasta con 19 especies distintas de malware. Su principal objetivo es la difusión de correo basura, para el que por medio de este complejo entramado ha conseguido recopilar hasta el momento más de 3 millones de direcciones de correo. Para detener las infecciones, Panda Software ha contactado con las compañías que alojan los archivos y páginas que componen la parte principal de este ataque organizado.

La cadena de la infección comienza al visitar la mencionada página web, cuando ésta, por medio del tag Iframe, trata de abrir dos nuevas páginas. Esto desencadena dos procesos paralelos, cada uno asociado a una de las páginas citadas:

1. En el momento en que se abre la primera de las páginas, ésta a su vez trata de abrir otras 6 páginas, que redireccionan al usuario a diversas páginas de contenido para adultos. Además, lleva al usuario a una séptima página, que desencadena el proceso principal de ataque. Esta página utiliza dos posibles vulnerabilidades para llevar a cabo sus acciones, Ani/anr y Htmredir. En cualquiera de los dos casos, si el ataque tiene éxito, instalará y ejecutará en el equipo los archivos Web.exe o Win32.exe, respectivamente, que son idénticos.

Al ser ejecutado, Web.exe crea 7 archivos en el equipo, siendo uno una copia de sí mismo. En el caso de los 6 restantes:

a. Los dos primeros son binariamente idénticos, corresponden a Downloader.DQY, y ambos crean en el directorio del sistema operativo un archivo denominado svchost.exe, que es en realidad el troyano Downloader.DQW. Éste se registra como un servicio del sistema, que cada 10 minutos intenta descargar y ejecutar archivos de cuatro direcciones web diferentes, de las cuales dos no estaban disponibles en el momento de escribir estas líneas, y las otras dos dirigen a:

– El troyano Multidropper.ARW.

– El troyano Sapilayr.A.

b. El tercero es un adware, Adware/SpySheriff.

c. El cuarto, correspondiente al troyano Downloader.DYB, trata de buscar la identificación de la máquina. Si ésta es una máquina del Reino Unido se descarga y ejecuta un dialer, identificado como Dialer.CHG. En caso de que la máquina no pertenezca al Reino Unido se descarga otro archivo diferente, que ha sido identificado como Dialer.CBZ. Este tipo de archivos tratan de desviar a usuarios que se conectan a Internet por medio de sistemas de marcación telefónica hacia números alternativos, con tarificaciones abusivas.

d. El quinto, correspondiente al troyano Downloader.CRY, crea dos archivos. El primero crea en el directorio c:windowssystem un archivo denominado svchost.exe. El segundo ha sido identificado como el troyano Lowzones.FO.

e. El sexto, identificado como el troyano Downloader.EBY, crea a su vez otros seis archivos, que resultan ser:

– El primero es el troyano Downloader.DLH, que por medio de una aplicación consigue recopilar direcciones de correo de la computadora afectada y enviarlas a una dirección remota por medio de FTP. En el momento de escribir estas líneas había recopiladas más de 3 millones de direcciones.

– El segundo, el troyano Agent.EY, se instala en el sistema y se ejecuta en cada inicio, visitando a continuación una página, que podría ser utilizada como recopilación de las IPs de los equipos infectados, a modo de estadística.

– El tercero, el troyano Clicker.HA, tras ser ejecutado, espera 10 minutos y a continuación abre una página de contenido para adultos, volviendo a abrirla cada 40 segundos.

– El cuarto corresponde a un dialer, Dialer.CBZ.

– El quinto es un adware, Adware/Adsmart.

– El sexto, el troyano Downloader.DSV, descarga de una dirección un archivo correspondiente al backdoor Galapoper.C, y que es el que ejecuta la parte principal del ataque, el envío de spam. Éste comprueba si existe conexión a Internet, y en caso afirmativo visita una de las tres páginas que posee especificadas en su código y, en función del equipo infectado, se descarga un archivo. Esto permite llevar a cabo ataques personalizados, e incluso puede contener otras instrucciones o actualizaciones del backdoor.

Galapoper.C, además, inicia un hilo principal, y dos secundarios: en el principal comprueba periódicamente la disponibilidad de contenidos en las tres páginas indicadas anteriormente. Por medio de los hilos secundarios realiza, por una parte envío de spam (utilizando el computador infectado como emisor), y por otra parte recopila información del servidor (direcciones de correo, asuntos, cuerpos de los mensajes) para los mensajes de spam, cada 10 minutos o cada vez que envíe 70.000 correos de spam.

2. La segunda de las páginas redirecciona al usuario a otra, que trata de utilizar la vulnerabilidad de ByteVerify para intentar ejecutar un archivo ubicado en una URL. A su vez, invoca por medio de un tag de HTML una nueva página, que no está disponible en el momento de escribir estas líneas, por lo que su contenido no ha podido ser analizado.

Además, abre otra página, cuyo código se encuentra enmascarado mediante una función de Javascript, que utiliza la vulnerabilidad ADODB.Stream para, por medio de un archivo situado en otra página web distinta, tratar de sobrescribir el programa Windows Media Player si éste está disponible en el equipo.

La complejidad de este ataque apenas posee precedentes. Como comenta Luis Corrons, director de PandaLabs, "la elaboración de este ataque supera con mucho lo que es común. Los usuarios de las Tecnologías TruPrevent siempre han estado protegidos, pero éste es uno de los ataques organizados más complejos que hayamos visto nunca en PandaLabs". Además, comenta que "la cantidad de direcciones recopilada para el envío de spam, más de 3 millones, indica que el creador ha conseguido un importante éxito. En los últimos ataques de este estilo, se antepone el beneficio económico por encima de la difusión, y el spam es una de las principales fuentes de ingresos de los creadores de malware". Como consejo, apunta que "además de poseer una solución antivirus, es fundamental tener el equipo actualizado, ya que SpamNet.A basa buena parte de su éxito en el aprovechamiento de vulnerabilidades".

El informe de PandaLabs de esta semana para Latinoamérica centra su atención en estos dos troyanos, Spamnet.A y Galapoper.C- Éstos son los que más están afectando en la región. Microsoft ha informado de las mencionadas vulnerabilidades en seis boletines -del MS05-038 al MS05-043-, en los que anuncia la disponibilidad de actualizaciones que las resuelven y cuya instalación se recomienda a los usuarios de los equipos afectados.

Roxana Hernández, Gerente General de Panda Software Venezuela, opina: "De los problemas de seguridad a los que nos referimos hay tres que permiten ejecutar código en los sistemas afectados y han sido calificados como críticos. Estos logran una vulnerabilidad critica en las versiones 5.01, 5.5 y 6 de Internet Explorer, afecta de grave manera cualquier versión de Windows XP; crea problemas de seguridad en Telephony Application Programming Interface (TAPI), que posibilita la ejecución remota de código y puede afectar también el sistema de impresión de los computadores".

Para evitar la entrada de SpamNet.A o de cualquier otro código malicioso, Panda Software recomienda mantener actualizado el software antivirus. Los clientes de Panda Software ya tienen a su disposición las correspondientes actualizaciones para la detección y desinfección de este nuevo código malicioso.

pandasofware.es