El ataque puede iniciarse con un correo electrónico o un inocente mensaje instantáneo de AIM o ICQ, con un texto como “My personal home page http://XXXXXXX.X-XXXXXX.XXX/.” (mi página personal, etc.). Una vez que se hace clic en este enlace, el Internet Explorer abre un sitio web malicioso que infecta al usuario. También puede producirse por la visita directa a determinados sitios.
Lo primero que un usuario infectado podría ver, sería la página de inicio del navegador, modificada para que apunte a un sitio identificado como TargetSearch, además de numerosas ventanas que muestran avisos para adultos.
Las páginas maliciosas, se encuentran en diferentes sitios, aunque todos ellos parecen haberlo hecho de forma deliberada, ya que la información obtenida con un “whois”, es similar en todos los casos (“whois” es un comando para consultar una base de datos mundial en la que aparecen los dominios registrados junto con los datos de sus titulares).
Una vez que un usuario hace clic en el enlace, el servidor Web procura descargar un troyano backdoor. Thor Larholm, investigador principal de PivX Solutions LLC de California, Estados Unidos, dijo que una computadora personal que corre una versión totalmente al día, con todos los parches y actualizaciones de Windows XP e Internet Explorer 6, será afectada por esta nueva versión del Download.Ject, así como máquinas con versiones más viejas de estos programas.
En cambio las computadoras que poseen el nuevo SP2 (Service Pack 2) para Windows XP, no son afectadas. Larholm agregó que todas las vulnerabilidades explotadas en este ataque, son conocidas desde hace bastante tiempo.
“Otra diferencia es que utiliza mensajes instantáneos para propagarse. Si usted recibe un mensaje y hace clic en el enlace incluido, termina infectado. No utiliza ningún fallo desconocido,” dijo. “Pero no es tan automatizado como podría llegar a serlo. Pienso que todavía puede evolucionar. Esto, claramente tiene detrás un motivo financiero.”
En el pasado mes de junio, los servidores usados para comprometer las máquinas de los usuarios, fueron víctimas de ataques dirigidos por individuos o entidades hacia servidores específicos. El troyano utilizado, afectaba a estos sitios y añadía un código de Javascript en el pie de sus páginas. Cuándo se ejecutaba, el Javascript conseguía descargar y ejecutar otro archivo desde otro servidor, ubicado en Rusia. Un usuario con software no actualizado que visitara las páginas servidas por los servidores atacados, terminaba infectándose por el troyano.
Esta vez, los atacantes han sido capaces de colocar su código en una variedad bastante importante de servidores, aparentemente con el conocimiento de sus propietarios. Algunos de los sitios que sirven el código malicioso, son sitios dedicados a la pornografía, o que brindan anuncios publicitarios a otros servidores, dijo Larholm.
La primera versión de Download.Ject fue utilizada para controlar el tráfico de salida de los equipos infectados, y capturar contraseñas y otros datos relacionados con bancos en línea y otros sitios financieros. Lo mismo que parece intentar la actual, aunque esta vez no es seguro que el grupo de piratas informáticos de origen ruso, conocido como The HangUP Team esté involucrado en el tema, como lo estuvo en el ataque del mes de junio.
Los diferentes fabricantes de antivirus ya han sido notificados por PivX, y sus últimas actualizaciones reconocerán este código.
Más información y noticias en http://www.vsantivirus.com
