Trojan.Downloader.Exchanger.A( TR/Crypt.FKM.Gen, Trojan Dialer.gen14 )
SINTOMAS: Existencia del archivo CbEvtSvc.exe en la carpeta del sistema (normalmente C:\Windows\System32)Existencia del archivo symavc32.sys en la carpeta de controladores (normalmente C:\Windows\System32\Drivers). DESCRIPCIÓN TÉCNICA: Este malware se propaga engañando a los usuarios e incitándolos a hacer clic en enlaces y ejecutar las aplicaciones a las que apuntan dichos enlaces. Los enlaces llegan a través de un mensaje de correo no solicitado (SPAM) que promete vídeos explícitos sobre celebridades. Se han observado dos tipos de mensajes:
Estos mensajes utilizan un enlace de Google enmascarado, que oculta la verdadera dirección a la que se dirigen los usuarios. Es decir, cuando un usuario inspecciona el enlace, verá en link hacia Google, sin embargo Google redirigirá al usuario a la página web indicada en el parámetro URL. Google utiliza este tipo de URLs para redirigir a los usuarios que hacen clic en los anuncios servidos por el programa Google AdSense, sin embargo una validación insuficiente de los parámetros significa que los autores de malware pueden modificar las URL para redirigir a los usuarios a páginas web arbitrarias. Una vez instalado, el malware se copiará a sí mismo en la carpeta del sistema (C:\Windows\System32 en la instalación predeterminada de Windows XP) con el nombre CbEvtSvc.exe y se registra como servicio del sistema. Después de la instalación, contacta con el servidor original y solicita una lista de archivos a descargar a través de una conexión SSL cifrada. Actualmente descarga dos archivos adicionales:
INSTRUCCIONES DE LIMPIEZA: Analice sus archivos con BitDefender para desinfectarlos.ANALIZADO POR: Attila-Mihaly Balazs, investigador de virus |