|
VSantivirus No. 1268 Año 8, sábado 27 de diciembre de 2003
Virus disfrazado como alerta de ataques terroristas
http://www.vsantivirus.com/27-12-03.htm
Por Angela Ruiz
angela@videosoft.net.uy
El Malaysian Computer Emergency Response Team (MyCERT), ha reportado la propagación de un correo electrónico que utiliza una supuesta alarma de terrorismo para incitar a los usuarios a hacer doble clic sobre un enlace malicioso que descarga y ejecuta un troyano.
Aunque el mensaje no parece haber sido visto en otros países, es importante que se tenga en cuenta esta forma de propagación de código maligno, puesto que es muy fácil trasladarla a cualquier otra parte del mundo, explotando el lógico temor ante actos de este tipo.
El mensaje reportado, se identifica con el asunto "urgent message for all Malaysians", y simula provenir de una fuente anónima dentro del gobierno malayo, que advierte tener el conocimiento de "por lo menos 5 actos planeados de terrorismo, y de los supuestos lugares y fechas que se llevarían a cabo". La razón que se da para distribuir esta información, es "minimizar la cantidad de víctimas".
El correo electrónico insta a los que "piensan en el futuro de sus parientes (sic)", a pinchar en un enlace empotrado en el mensaje, que se supone lleva a un sitio web que proporciona información "que probablemente salvará su vida".
Siguiendo el enlace, solo se activa un programa que descarga tres archivos maliciosos en la computadora del usuario, y modifica el registro. El código procura entonces conectarse con tres servidores específicos de Internet desde la computadora infectada.
Es probable los sitios fueran utilizados para lanzar otros programas maliciosos, pero actualmente han sido dados de baja.
El troyano se asemeja al W32/Spy.Tofger.H.
Cuando se pincha en el enlace, se crean los siguientes archivos:
C:\2.exe
C:\Windows\msto32.dll
C:\Windows\svchost.exe
Crea la siguiente entrada en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Online Service = system.exe
Al ejecutarse, se conecta a tres sitios de Internet, desde donde descarga y ejecutan otros posibles troyanos.
La descripción completa del troyano puede ser consultada en el siguiente enlace:
W32/Spy.Tofger.H. Se ejecuta desde archivo HTML o PHP
http://www.vsantivirus.com/tofger-h.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|