El troyano SpySkype.C, el gusano Vanebot.A y el adware AquaPlay protagonizan el informe de PandaLabs de esta semana.

SpySkype.C está diseñado para robar el nombre de usuario y contraseña de acceso a skype, el servicio de telefonía IP. Para ello, una vez es ejecutado muestra un falso mensaje informando de que se ha instalado un nuevo plugin de Skype llamado “Skype-Defender” y que para aplicarlo es necesario iniciar sesión en la cuenta de Skype. A continuación, finaliza todos los procesos en ejecución de Skype, para evitar que el usuario introduzca sus datos en la página real de Skype, y muestra una ventana falsa en la que se pide al usuario su nombre y su contraseña para acceder a Skype.

Una vez el usuario introduce sus datos en esa página falsa, el troyano se las envía a su creador a través de una conexión http.  Para finalizar, muestra un mensaje en el que se le avisa de que sus credenciales no son válidas.

Puede ver imágenes de todo este proceso aquí: http://www.flickr.com/photos/panda_security/tags/spyskype/

Una vez tiene esas contraseñas, el creador del malware puede utilizar la cuenta del usuario para enviar spam a través del servicio de mensajería a sus contactos.

Vanebot.A es un gusano con funcionalidades de backdoor. Se propaga a través de redes con recursos compartidos configuradas con contraseñas débiles, servidores MS SQL y servicios de mensajería instantánea. Una vez ha infectado un ordenador, este gusano se conecta a un canal IRC (Internet Relay Chat) para recibir instrucciones de un atacante remoto y llevar a cabo acciones maliciosas.

AquaPlay es un adware que simula ser un codec para poder ver vídeos. El malware de este tipo suele ser descargado de páginas web sospechosas en las que se ofrecen vídeos. Cuando un usuario intenta ver un vídeo, se le requiere que descargue e instale un codec que no es otra cosa que una copia del malware. Una vez ha sido ejecutado en un equipo, este ejemplar muestra un acuerdo de licencia al usuario, similar  a los de otros programas legales (imagen aquí: http://www.flickr.com/photos/panda_security/3237090168/). En caso de aceptar la licencia, comenzará el proceso de instalación. En cualquiera de las ventanas que va mostrando durante este proceso, el usuario puede pulsar la opción de “cancel” (cancelar), pero no servirá de nada, porque el adware se instalará igual.

Una vez instalado, descarga el gusano detectado por PandaLabs como Autorun.AST en el ordenador afectado. La finalidad de este malware es propagarse y afectar al mayor número de ordenadores posible.

Además, este adware realiza cambios en el sistema añadiendo entradas en el Registro, soltando ficheros maliciosos, haciendo copias de los mismos…etc.

Esta semana, además, PandaLabs ha informado sobre los primeros ataques relacionados con San Valentín. Puede obtener más información aquí: http://www.pandasecurity.com/spain/homeusers/media/press-releases/viewnews?noticia=9529