Websense Security Labs™ ha recibido varios reportes
de una campaña del troyano Zbot que se propaga a través del correo
electrónico. Hasta ahora hemos recibido más de 2,200 mensajes.
Zbot (conocido también como
Zeus) es un troyano que roba información (infostealer) que reúne datos
confidenciales de cada computadora infectada. El principal vector para
propagar Zbot es una campaña de spam en la que se engaña a los
receptores para que abran archivos adjuntos infectados en su
computadora.
Esta nueva variante utiliza un archivo PDF malicioso que contiene la
amenaza como un archivo integrado. Cuando los receptores abren el PDF,
les pide guardar un archivo PDF llamado Royal_Mail_Delivery_Notice.pdf.
El usuario asume erróneamente que el archivo es sólo un PDF, y por tanto
es seguro guardarlo en la computadora local. Sin embargo, el archivo es
en realidad un ejecutable de Windows. El PDF malicioso inicia el
archivo que introdujo, tomando control de la computadora.
Al momento de
escribir esta alerta, este archivo tenía 20% de tasa de detección por antivirus (SHA1:
f1ff07104b7c6a08e06bededd57789e776098b1f).
La amenaza crea un subdirectorio bajo
%SYSTEM32% con el nombre “lowsec” y agrega los archivos “local.ds” y
“user.ds” files. Estos son archivos de configuración para la amenaza.
También se copia a sí mismo en %SYSTEM32% como “sdra64.exe” y modifica
la entrada del registro
“%SOFTWARE%\Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit”
para ejecutarse durante el arranque
del sistema. Esta variante de Zbot se conecta a un servidor remoto
malicioso en China usando una dirección IP de
59.44.[removed].[removed]:6010.
Fuente: Conectados en Red
que grande avira...
ResponderBorrar