Un peligroso troyano se hace pasar por MSN Messenger para robar los datos confidenciales de los usua
Además, gracias al empleo de un curioso sistema de ocultación, es capaz de hacerse pasar por la aplicación MSN Messenger, de manera que los usuarios no sospechen de su presencia en el sistema.
Como la gran mayoría de troyanos, Spymaster.A no puede propagarse por sus propios medios, sino que necesita de la intervención de algún usuario malicioso. Así, puede llegar a los ordenadores como un archivo adjunto a mensajes de correo electrónico, o bien ser descargado desde páginas web, aplicaciones P2P, sistemas de mensajería instantánea, disquetes o CD-ROM infectados, etc.
Sea cual sea la forma en que llegue al equipo, si el usuario ejecuta un archivo que contenga a Spymaster.A, se crea el fichero syscont.exe, que es una copia del troyano. El proceso asociado a dicho archivo lleva por nombre Win serviço. Sin embargo, emplea un sistema de ocultación por el cual, en caso de que el usuario observe los procesos que se encuentran activos en memoria en el administrador de tareas, únicamente verá la supuesta ejecución de la aplicación MSN Messenger. Este proceso, en realidad, oculta las acciones de Spymaster.A. Asimismo, crea varias entradas en el registro de Windows con el objetivo de asegurar la ejecución de dicho archivo cada vez que se reinicie el ordenador.
El troyano crea también el fichero de texto syslogy.cc. En este archivo se almacenan los datos sobre los programas que el usuario ejecuta, las páginas web que visita, así como todos los datos que introduce a través del teclado. Este fichero será el que se envíe, a través de FTP, a una dirección dónde el atacante podrá recogerlo.
Según Luis Corrons, director de PandaLabs: “Los troyanos keylogger suelen ser empleados por ciberdelincuentes para robar datos confidenciales con los que llevar a cabo acciones fraudulentas. Dado que, en la actualidad, la consecución de beneficio económico se ha convertido en la principal motivación de los autores de códigos maliciosos, es casi seguro que aparecerán muchos ejemplares, cada vez más sofisticados y difíciles de detectar. La forma de ocultación del proceso en memoria de Spymaster.A, es un buen ejemplo de ello”.
Para ayudar al mayor número de usuarios a analizar y/o desinfectar puntualmente sus equipos, Panda Software ofrece gratuitamente -en http://www.pandasoftware.es/home/default.asp – la solución antimalware online Panda ActiveScan. Además, los webmasters pueden ofrecer este mismo servicio a los visitantes de sus páginas web mediante la inclusión de un código HTML que pueden obtener gratuitamente en http://www.pandasoftware.es/partners/webmasters/
Los clientes de Panda Software que aún no disponen de las Tecnologías TruPreventTM tienen disponibles las actualizaciones para instalarlas junto con su antivirus y estar, así, protegidos de forma preventiva frente a virus e intrusos desconocidos. Por otro lado, para usuarios que cuenten con otros antivirus del mercado, Panda TruPreventTM Personal es la solución idónea, ya que es compatible y complementaria a éstos y proporciona una segunda línea de defensa y una protección preventiva que actúa mientras el antivirus es actualizado, disminuyendo el riesgo de ser infectados. Más información sobre las Tecnologías TruPreventTM en http://www.pandasoftware.es/truprevent
Panda Software también pone a disposición de los usuarios Virus Alerts, boletín digital -en español e inglés- en el que notifica, de forma inmediata, la aparición de códigos maliciosos potencialmente peligrosos. Para recibir Virus Alerts sólo hay que visitar la web de Panda Software (http://www.pandasoftware.es/about/suscripciones/), y rellenar el formulario correspondiente.
Fuente: PandaSoftware
