Lunes, 28 de mayo de 2007
El informe de esta semana de PandaLabs da informaci?n sobre Conycspa.AJ, un peligroso troyano que descarga otros nueve c?digos
maliciosos en los ordenadores que compromete. Adem?s, trata sobre el caso de Briz.X, un troyano que ya ha infectado a m?s de 14.000
usuarios, y sobre los gusanos MSNPhoto.A y Ridnu.D.

El troyano Conycspa.AJ est? dise?ado para mostrar ventanas de publicidad a los usuarios. Para ello, modifica diferentes entradas en
el registro de Windows que le permiten alterar los resultados de ciertas b?squedas que el usuario realice en Internet. De este modo,
busca dirigirle hacia algunas p?ginas web, la mayor?a de ellas relacionadas con la venta de medicamentos.

Este troyano, adem?s, se conecta a una determinada direcci?n web desde la que descarga diferentes archivos. Uno de ellos, llamado
mm4839.exe, est? dise?ado para enviar spam sobre medicamentos desde el ordenador de los usuarios.

Tambi?n descarga desde Internet una larga lista de ficheros infectados correspondientes al siguiente malware: el adware
MalwareAlarm, los programas potencialmente peligrosos DriveCleaner, WinAntivirus2006 y PsKill.J, los troyanos Stox.A y Cimuz.EI, y
las cookies DriveCleaner, MediaPlex y DriveCleaner.

Puede obtener m?s informaci?n sobre todos estos c?digos maliciosos en la Enciclopedia de Panda Software
(http://www.pandasoftware.es/virus_info/enciclopedia/).

?Con este tipo de malware los ciber-delincuentes buscan rentabilizar sus ataques. Por cada infecci?n que logran, consiguen
introducir en el ordenador del usuario un gran n?mero de c?digos maliciosos, aumentando as? sus posibilidades de obtener alg?n tipo
de beneficio mediante el robo de datos confidenciales, visitas a p?ginas que venden ciertos productos, env?o de spam, secuestro de
ordenadores, etc.?, explica Luis Corrons.

Conycspa.AJ crea varias modificaciones m?s en el registro de Windows. Una de ellas le permite ejecutarse con cada reinicio. Adem?s,
crea una BHO (Browser Helper Object u objeto de ayuda del navegador) que le permite registrar la navegaci?n del usuario.

Tambi?n modifica el firewall para poder abrir un puerto aleatorio y el fichero win.ini para ejecutarse autom?ticamente al iniciar
sesi?n en el equipo.

El sistema operativo Windows cuenta con una protecci?n llamada Windows File Protection (WFM). ?sta se encarga de comprobar que no
haya ficheros corruptos y, en caso de dar con alguno, lo sustituye por una copia del original. Este peligroso troyano modifica ese
directorio de restauraci?n de ficheros y establece como valor el suyo propio. As?, cada vez que el sistema operativo intente
restaurar la librer?a corrupta lo har?, de nuevo, por la creada por el troyano. De esta manera, protege sus modificaciones y evita
su eliminaci?n por parte del sistema operativo.

Briz.X, tambi?n ha sido protagonista esta semana. PandaLabs dio con un servidor que recib?a la informaci?n confidencial robada por
este troyano. M?s de 14.000 usuarios se han visto ya afectados por esta variante que infecta una media de 500 m?quinas diarias.

Este troyano cuenta con un m?dulo parser que permite a los ciber-delincuentes gestionar toda la informaci?n robada, realizando
b?squedas por t?rminos o direcciones IP o creando filtros para dar m?s r?pidamente con ciertos datos. Puede obtener m?s informaci?n
sobre este troyano en la direcci?n http://www.pandasoftware.es/about/prensa/vernoticia?noticia=8560

MSNPhoto.A es un gusano que se propaga a trav?s del programa de mensajer?a instant?nea MSN Messenger. Este malware llega al
ordenador con el icono de una imagen, pero en realidad es un archivo .exe.

Cuando es ejecutado, MSNPhoto.A cierra todas las ventanas de MSN Messenger que el usuario tenga abiertas y env?a un mensaje a todos
sus contactos en el que los insta a abrir un fichero con el nombre fotos_posse.zip. Ese fichero es, en realidad, una copia del
gusano.

Este gusano, adem?s, impide la apertura del administrador de tareas, de modo que el usuario no pueda cerrar MSN Messenger. Tambi?n
intenta descargar varios ficheros desde Internet. Por ?ltimo, realiza una modificaci?n en el registro de Windows para asegurarse que
es ejecutado con cada reinicio del sistema.

?Los servicios de mensajer?a instant?nea, como MSN Messenger, Yahoo!Messenger, AIM, etc. se usan cada vez m?s tanto en los hogares
como en los centros de trabajo. Lo que ocurre es que al estar tan extendidos, se han convertido en una magn?fica forma de propagarse
para el malware que puede llegar as? a un mayor n?mero de ordenadores?, explica Luis Corrons.

Ridnu.D es el segundo gusano de este informe. Este malware, como anteriores variantes de la familia Ridnu, se caracteriza por
mostrar molestos mensajes mientras se est? haciendo uso del ordenador. As?, modifica el contenido de ?ejecutar? mostrando el texto
?Mr_CoolFace Has Come!?. Tambi?n cambia el nombre de la carpeta Mis Documentos por ?Mr_CoolFace? y escribe mensajes como ?Dear my
princess? cada vez que el usuario abre el bloc de notas.

Adem?s, Ridnu.D crea varias entradas del registro de Windows para cambiar el aspecto de la barra de herramientas del Explorador de
Windows y asegurarse la ejecuci?n con cada reinicio, entre otras acciones maliciosas.




:-: FUENTE: "PANDA SOFTWARE"
www.pandasoftware.es

:-: ZAMEEX BLOG: Informando a M?xico www.zameexBLOG.cjb.net
Comentarios