Martes, 31 de julio de 2007
El informe de PandaLabs de esta semana se centra en tres c?digos maliciosos: el troyano PayRob.A, la herramienta Icepack, y el
gusano Chasnah.A.

PayRob.A es un troyano dise?ado especificamente para robar informaci?n relativa a cuentas del sistema de pago online PayPal. Como la
gran mayor?a de los troyanos, no puede propagarse por sus propios medios, por lo que para llegar a los ordenadores es necesaria la
intervenci?n de un usuario malicioso.

En caso de que un usuario ejecute el archivo conteniendo a PayRob,A, se otorgar? a si mismo atributos de fichero oculto y modificar?
el registro de Windows con el objetivo de ejecutarse en cada reinicio del sistema.

El troyano crea dos archivos en el ordenador en las carpetas de archivos temporales de Internet y en C:\WINDOWS\MSAPPS\. En caso de
que ?sta ?ltima no se encuentre en el sistema, se mostrar? un mensaje de error.

Adem?s, suelta un archivo denominado modeexpinovo.txt en la carpeta de archivos temporales de Internet. Este archivo de texto
almacenar? las claves de PayPal que puedan encontrarse en el sistema afectado, y podr? accederse a ?l de forma remota de manera que
un hacker pueda hacerse con la informaci?n desde un determinado HOST de Internet.
Para propagarse, el gusano Chasnah.A utiliza carpetas compartidas y dispositivos USB. Cuando es ejecutado, crea varios archivos en
el sistema, as? como entradas en el registro de Windows.
Hecho lo anterior, cada vez que el usuario inicia sesi?n se muestra una pantalla con un mensaje en ingl?s y en indonesio. Adem?s,
peri?dicamente abre el navegador web mostrando la p?gina antes mencionada.

Por otra parte, Chasnah.A disminuye el nivel de protecci?n del sistema impidiendo la ejecuci?n de determinadas aplicaciones de
seguridad, y se copia peri?dicamente en unidades de disco extra?ble.

Por ?ltimo, IcePack es una herramienta maliciosa de instalaci?n de malware mediante exploits. El proceso de infecci?n de los
ordenadores utilizando Icepack es el siguiente: la aplicaci?n accede a una p?gina web a la que a?ade una referencia iframe que
apunta al servidor donde est? instalada esa aplicaci?n. La principal novedad de Icepack es que la propia herramienta es la que a?ade
el iframe. En otras aplicaciones anteriores, como Mpack, es un hacker el que tiene que conseguir manualmente el acceso a las p?ginas
web en las que insertarlo.

Cuando un usuario visite una de esas p?ginas manipuladas, el iframe activar? a Icepack que buscar? vulnerabilidades que puedan
existir en la m?quina del usuario. En caso de encontrar alguna, descargar? en ese ordenador el exploit que permita aprovecharla. Un
dato importante es que Icepack utiliza los exploits correspondientes a las ?ltimas vulnerabilidades aparecidas. La raz?n es que, al
ser m?s recientes, hay menos posibilidades de que los usuarios hayan actualizado sus equipos para solventar esos fallos de
seguridad.

Desde este momento, el delincuente podr? descargar cualquier tipo de malware en los ordenadores afectados. Otra de las novedades de
Icepack es el uso combinado de un verificador de ftps y un iframer. El primero sirve a los ciber-delincuentes para aprovechar la
informaci?n sobre cuentas FTP que hayan conseguido robar en los ordenadores afectados. As?, los datos de esas cuentas son pasados
por ese verificador para comprobar si son v?lidos o no. Aquellas que lo sean, pasar?n al iframer que las manipular? introduciendo en
ellas el iframe que apunta a Icepack. Con esto, la aplicaci?n puede comenzar de nuevo su "ciclo de vida".




:-: FUENTE: "PANDA SOFTWARE"

:-: ZAMEEX BLOG


|- La publicaci?n de este art?culo se realiza bajo el ideal de divulgar informaci?n a la socidad. Zameex No toma un texto sin dar el reconocimiento a su autor. As? se respeta la propiedad intelectual -|
Comentarios