Madrid, 26 de noviembre de 2006 - El informe de esta semana se ocupa de tres códigos maliciosos: el troyano Banker.FJI y los gusanos Foamer.A y Spamta.NB.Banker.FJI es un troyano que muestra falsas pantallas de acceso cuando el usuario visita las páginas web de diferentes entidades bancarias de Brasil, como Banco do Brasil, Bradesco o Itau. Cuando el usuario introduce su información de acceso en las páginas falsificadas, o en las páginas legítimas que el troyano controla, éste la registra en un archivo de texto que después es enviado a su autor. También controla el tráfico de Internet generado al visitar direcciones web relacionadas con Banco do Brasil.

Banker.FJI no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.

El troyano es fácil de reconocer una vez ha afectado el ordenador, ya que cuando se ejecuta muestra en pantalla el mensaje: “Requerido Windows NT Server”.

Foamer.A es un gusano que intenta conectarse a cierta página web para descargar varios archivos que pueden ser de cualquier naturaleza, incluyendo software malicioso. Otra de sus características es que deshabilita el Administrador de Tareas y el Editor del Registro de Windows y envía un mensaje de correo electrónico a su autor con datos del ordenador afectado, como nombre de usuario y nombre de la máquina.

Por otro lado, si el usuario abre la consola de comandos CMD, Foamer.A vacía la pantalla, muestra el mensaje “THE WORLD-WIDE DONT ACCEPT COMMAND PROMPT!!!!” y la cierra automáticamente.

La propagación de Foamer.A se realiza a través de redes. Este gusano es difícil de reconocer a simple vista, ya que no muestra mensajes o avisos que alerten sobre su presencia.

Por último, Spamta.NB es un gusano de correo electrónico cuya misión es propagar a un troyano denominado SpamtaLoad.BL. Para ello, envía mensajes de correo electrónico con archivos adjuntos que contienen al mencionado troyano.
Dichos mensajes tienen asunto y cuerpo de texto variable, lo mismo que el archivo que contiene a SpamtaLoad.BL. Este troyano es el encargado de descargar a Spamta.NB en el sistema, de manera que el ciclo se repita en cada ordenador infectado.

Todos aquellos usuarios que deseen comprobar si su ordenador ha sido atacado por estos u otros códigos maliciosos pueden hacer uso, de manera completamente gratuita de la solución ActiveScan en la dirección http://www.pandasoftware.es/activescan. Con él podrá llevarse a cabo una inspección completa y sin coste alguno de cuantos elementos del sistema deseen verificarse ante la sospecha de una infección.