martes, 16 de diciembre de 2008

Troyano para bancos latinoamericanos

El troyano creado en el continente y en cuyo código fuente pueden apreciarse comentarios en español, es propagado a través del mensajero MSN de Microsoft a través del siguiente mensaje (errores incluidos):

quiero enviarle una postal a mi amor sera que esta esta bonita? que dices tu?
http://gusanito-videpostal.[ELIMINADO].net/inside/

Posteriormente, si el usuario comete el error de hacer clic, se descarga un archivo ejecutable desde el sitio de alojamiento gratuito Box.net. Lo recomendable es no hacer clic sobre el enlace ofrecido en el mensajero y, en todo caso, explorar cada archivo descargado con ESET NOD32 como se explica en configurando ESET NOD32 en MSN I y II.

El archivo ejecutable, detectado por ESET NOD32 como Win32/Qhost.NGQ, descarga un archivo hosts ya modificado desde un sitio web que ha sido vulnerado y donde se ha alojando un archivo PHP con el siguiente contenido:


Luego de esta modificación, el sistema afectado ingresará a la dirección IP especificada cada vez que el usuario solicite cualquiera de las URL de los bancos que aparecen en el listado.

Si desea conocer más detalles del funcionamiento del malware del tipo descripto recomiendo la lectura del artículo sobre pharming local y ver nuestro Video Educativo sobre este tema.

Image Hosted by ImageShack.us
Fuente: Cristian [Eset Nod32]


====================================================
Te fue de utilidad? deja tu comentario. / Usefull? Leave us your comment.