JoseCruz

En esta ocasión, nuestro Laboratorio ha encontrado un nuevo caso mediante el cual se aprovecha un sitio web para la propagación de códigos maliciosos. Se trata de una página que ofrece la descarga del conocido cliente de descarga de archivos para redes P2P, eMule. A continuación pueden ver una captura de la falsa web, que simula ser la oficial:



Los usuarios desprevenidos que accedan a la descarga del archivo en cuestión, descargarán en realidad un código malicioso que tanto ESET NOD32 como ESET Smart Security detectan bajo el nombre de Win32/Adware.NaviPromo. Un malware que, además de ejecutar constantemente ventanas emergentes con publicidad, posee propiedades de rootkit mediante el cual oculta su proceso malicioso.

Es importante que los usuarios que habitualmente utilizan las redes P2P para la descarga de archivos, sean conscientes que representan uno de los vectores más aprovechados para la propagación de diferentes códigos maliciosos, por lo que debemos actuar y prevenir en consecuencia. En nuestro artículo el malware en las redes P2P podrán encontrar más información sobre la relación que une a los códigos maliciosos con este tipo de redes.

Pero, miremos este malware con más detalle. Si comparamos los instaladores, es decir, el descargado desde el sitio web oficial del proyecto eMule y el descargado desde el sitio malicioso, notamos algunas leves diferencias como: cambia el nombre y el archivo malicioso es más pesado. Veamos una captura:



Al momento de la instalación, también se observa una leve diferencia:



El tema es que, una vez ejecutado, el malware instala el verdadero programa eMule pero, paralelamente, también instala el malware en cuestión activando un proceso malicioso llamado “ftddkbah.exe“, además se asegurar su ejecución en cada reinicio al agregar una referencia en la clave Run del registro.

Al finalizar la instalación, ejecuta una instancia del navegador abriendo una página web similar a la que se muestra en la próxima captura, desde la cual ofrece la descarga de un archivo llamado “Instant-Access.exe“. Como se podrán imaginar, se trata de otro malware, en este caso llamado Win32/Dialer.InstantAccess.NAE, un tipo de troyano diseñado para acceder a determinados sitios web, por lo general con contenido pornográfico, a cambio de costosas tarifas telefónicas.



Como podrán apreciar, la propagación de malware se puede realizar, y de hecho se realiza, a través de diferentes vectores como se demuestra en este caso, donde la prevención por parte del usuario radica principalmente en la descarga de programas desde los sitios oficiales.

Fuente



Asi que ya saben ponganse listos con los servidores que utilizan para descargar y recuerden que es mejor prevenir que lamentar.

Saludos

__________________
El tiempo es un Tesoro irremplazable, asi que hay que aprovecharlo

Lagarto

mmmm bueno es bueno saber de esto toy planteandome mi propio record de seguridad propia tengo un mes con nada mas de seguridad el firewal de windows y pues no me e infectado estoy tratando de hacer una campaña a mis amigos de que no todo son los antivirus sino que la principal forma de protegerse sos tu mismo aunque los antivirus son indispensables

__________________

100% Venezolano