El informe de PandaLabs de esta semana ofrece información sobre el programa YTFakeCreator, el troyano Trj/PHilto.A y el gusano W32/MSNBot.D.

YTFakeCreator es un programa que permite a los ciberdelincuentes crear páginas falsas de YouTube a las que dirigir a los usuarios para infectarlos con malware.  El método de infección se basa en el envío de un correo electrónico promocionando un supuesto vídeo sobre un asunto sensacionalista (imágenes eróticas de personajes famosos, muerte de alguna celebridad, etc.) e invitan al usuario a seguir un link para ver ese vídeo. Esta técnica es conocida como ingeniería social.

Una vez en la página, similar a la de YouTube (imagen: http://www.flickr.com/photos/panda_security/2840011688/), el usuario verá aparecer un mensaje de error explicando que es imposible ver el vídeo porque le falta un determinado complemento (un determinado códec, una actualización de Adobe Flash, etc.) e invitándole a descargarlo. Si el usuario lo hace, estará introduciendo en su equipo algún tipo de malware.

YTFakeCreator permite crear fácilmente esas páginas falsas de YouTube; introducir el texto del mensaje de error que ha de mostrar la web y el tiempo que tardará éste en aparecer.  También incluye el enlace al archivo infectado que se descargará en los equipos de los usuarios que caigan en la trampa e, incluso, crea un perfil falso similar a los de YouTube que den a ese vídeo la apariencia de haber sido subido por un usuario real de este sistema. Todo ello con un solo programa (imagen: http://www.flickr.com/photos/panda_security/2839993538/).

El código malicioso que se distribuya desde estas páginas falsas depende de la elección del autor y puede ser de cualquier tipo: virus, gusano, adware, troyanos, etc.

El Trj/PHilto.A, se trata de un archivo ejecutable que muestra un vídeo de contenido para adultos. El icono con el que se presenta este ejemplar incluye una imagen de Paris Hilton, que al ser ejecutado nos mostrará una pantalla en la que se nos solicita la descarga y visualización del vídeo.

Al elegir la opción de ver el vídeo, aparecerán dos ventanas en nuestra pantalla y el sistema se conecta a ua página web desde la que se descargarán todos los elementos necesarios (codecs) para la visualización del vídeo en cuestión.

Este ejemplar, se descarga un fichero ejecutable, con nombre aleatorio y que ocupa 303104 bytes, detectado como Adware/NaviPromo.

El W32/MSNBot.D.worm es un BOT de Messenger que tratará de robar datos (nombres de usuario, contraseñas, direcciones…) del PC para un posterior uso malintencionado de las mismas.

El archivo se presenta con el mismo formato de los iconos de MSN Messenger, tratando de confundir al usuario.  Al ejecutar el fichero, deja el proceso residente en nuestro sistema, a la vez que se inyecta el proceso del MSN Messenger continuamente en los servicios del mismo, con la clara intención de mantenerse a la espera de captar datos del ordenador, por un lado, y posterior distribución de los mismos, por otro.

El archivo realiza una copia de sí mismo en la ruta C:\Windows y crea una entrada en el registro de Windows para ejecutarse con cada reinicio del equipo y poder así seguir robando datos de nuestra máquina.

Además, la manera más usual de  propagación de éste malware, se producirá por correo electrónico, usando las direcciones que pueda captar de los contactos que tenemos en el Messenger.

Por último, crea un archivo .txt en C:\Windows, creado para la recopilación de datos y poder así guardar todos los datos robados.