10 de agosto de 2007 - Shark 2, una herramienta de creación de troyanos, centra el informe de esta semana de PandaLabs que también recoge información sobre Addon.B y MSNPoopy.A, dos gusanos que se propagan a través de MSN Messenger.

Shark 2 se distribuye en varios foros de Internet de forma gratuita y su manejo es muy sencillo, lo que lo hace especialmente peligroso. Los troyanos creados con este constructor podrán robar todo tipo de datos confidenciales de los ordenadores de los usuarios, si estos no están bien protegidos.

“Incluso, supondrán una amenaza para la intimidad de los usuarios, ya que el ciber-delincuente podrá activar la webcam de la persona afectda, si ésta cuenta con una, y observar lo que está haciendo en ese momento”, afirma Luis Corrons, Director Técnico de PandaLabs.

Entre las posibilidades que ofrece Shark 2 a la hora de diseñar troyanos, destacan la opción de definir el servidor al que debe conectarse el malware y la de configurar éste para que se ejecute con cada reinicio, muestre mensajes de error o ejecute otros archivos. Además, esta herramienta también permite establecer acciones específicas para procesos y servicios, tales como detener ciertos servicios, cerrar o borrar el servidor del usuario, etc.

Cuando ha infectado un ordenador, el troyano creado por Shark 2 se conecta al servidor que ha determinado el hacker y le muestra una pantalla que le permitirá realizar un gran número de acciones. Entre ellas, se encuentra la posibilidad de ordenar al malware que robe todo tipo de contraseñas (sistemas de mensajería instantánea, correo electrónico, claves bancarias, etc.).

Además, el ciber-delincuente podrá ejecutar un gran número de utilidades en el ordenador infectado. De esta manera, puede realizar acciones como la modificación del registro o la edición del host. Esto último le permitiría, por ejemplo, redireccionar al usuario a páginas preparadas para hacer phishing o que estén infectadas.

Los troyanos creados con esta herramienta también pueden realizar capturas de pantalla, audio e, incluso, pulsaciones del teclado.

“En resumen, los creadores de malware pueden utilizar esta herramienta para fabricar troyanos capaces de atacar por varios frentes al usuario, pero siempre con el mismo fin: robarle toda aquella información que puedan aprovechar para obtener algún tipo de beneficio económico”, asegura Luis Corrons.

El primer gusano de los dos que recoge este informe es Addon.B. Este malware envía por MSN Messenger un archivo llamado Foto_celular en formato .zip. Si el usuario lo abre y ejecuta el archivo que contiene, estará instalando en su ordenador una copia del gusano.

Addon.B se copia en todas las unidades con el nombre Foto_celular.scr. Este fichero es el encargado de descargar, cuando es ejecutado, la segunda parte del gusano, llamada sexy.wm. Este malware, además, se conecta a dos páginas web con el fin de recibir instrucciones que podrían ser desde descargar otros códigos maliciosos en el ordenador infectado hasta actualizarse.

MSNPoopy.A utiliza una técnica muy parecida a la del anterior gusano para propagarse por MSN Messenger. En este caso, utiliza frases como “look @ my cute new puppy ” o ”look @ this picture of me, when I was a kid “ para incitar a los usuarios a abrir el fichero adjunto, que tiene nombres como img1756 y va comprimido en formato .zip.

Cuando un usuario abra este fichero y ejecute el archivo que contiene, quedará inmediatamente infectado. Además, todos los usuarios de su libreta de direcciones recibirán el mensaje enviado por el gusano, pudiendo quedar igualmente infectados.

MSNPoopy.A modifica el registro de Windows para poder ejecutarse con cada reinicio del sistema. Además, intenta conectarse a otros canales de mensajería instantánea para poder enviar información o continuar propagándose.

“No debe extrañar que los ciber-delincuentes utilicen cada vez más la mensajería instantánea para propagar sus creaciones. Se trata de servicios que son empleados por millones de personas cada día, por lo que para ellos es una forma fácil y rápida de infectar a un gran número de usuarios”, explica Corrons.