20 de abril de 2007 - El informe de esta semana ofrece información sobre el troyano Artesimda y el gusano Rinbot.Q, que aprovecha diversas vulnerabilidades para propagarse. Además, recoge un nuevo caso de ataque combinado con ejemplares de la familia Spamta.

Ese ataque es llevado a cabo por el gusano Spamta.WF y el troyano SpamtaLoad.DW. El desarrollo es el siguiente: Cuando el troyano infecta un ordenador, procede a descargar el gusano. Éste, a su vez, roba todas las direcciones de correo que encuentra en ese ordenador y les envía un mail que contiene el troyano SpamtaLoad.DW. Entonces, este proceso vuelve a empezar.

El asunto y el contenido de los correos que envía el gusano Spamta.WF es variable. Algunos ejemplos de asuntos son: Error, Good Day o Hello. El fichero que contiene el troyano, por su parte, tiene nombres como body, data o doc con diversas extensiones (.msg, .txt,…).

Ese troyano se instala en el ordenador con el icono de un archivo de texto. Sin embargo, es un ejecutable. El objetivo es incitar al usuario a abrir ese documento y que, sin querer, lo ejecute. Cuando eso ocurre, SpamtaLoad.DW muestra un mensaje de error para distraer al usuario.

Rinbot.Q es el segundo ejemplar del informe. Este gusano aprovecha dos vulnerabilidades en Windows (la que afecta al DNS Server y la que afecta al proceso Local Security Authority Subsystem o LSASS) para propagarse. Cuenta con funcionalidades downloader, lo que le permite descargar otros ejemplares de malware en el ordenador infectado. Una vez se ejecuta, este gusano comprueba si están instalados ciertos programas para el control de la red. En caso afirmativo, los elimina. También finaliza los procesos de varias herramientas de detección de rootkits. El objetivo en ambos casos es dificultar su detección.

Rinbot.Q también se propaga a través de unidades compartidas de red. Además, crea ciertas modificaciones en el registro de Windows para ejecutarse con cada reinicio.

Artesimda es un peligroso troyano. Cuando se ejecuta en un ordenador, crea una cuenta en Windows con un nombre de usuario (Adminestrator) y una contraseña propios. A continuación, roba todo tipo de datos sobre los ordenadores que infecta: contraseñas de correo electrónico y otros programas, datos de hardware y software instalado, IP, direcciones de correo almacenadas,…

Este troyano también permite a un atacante controlar el ordenador infectado. Para ello, ejecuta un programa de administración remota en esos ordenadores. “Como el atacante ya conoce la IP de la máquina y cuenta con una contraseña propia en ese ordenador, puede acceder al equipo y modificar y robar toda la información que desee”, explica Luis Corrons, Director Técnico de PandaLabs.

Artesimda es capaz de registrar la navegación web de los usuarios y hacerse con toda la información que introduzcan en cualquier formulario web: contraseñas bancarias, claves de correo o blogs, etc. Toda la información que roba la envía a su creador a través de un servidor web.

También crea ciertas modificaciones en el registro para desactivar el firewall de Windows XP y para ejecutarse con cada reinicio. Para dificultar su detección, este troyano emplea técnicas rootkit.

“Los creadores de malware quieren aprovechar al máximo cada infección, por ello, incluyen en un solo ejemplar varias funcionalidades. De esta manera, se aseguran una mayor posibilidad de éxito a la hora de hacerse con datos confidenciales de los usuarios”, afirma Luis Corrons.