El informe de esta semana de PandaLabs recoge información sobre el troyano Nabload.DLU, el adware Renus2008 y sobre el gusano MSNworm.FZ.

Nabload.DLU se hace pasar por un divertido vídeo para engañar al usuario mientras descarga en el equipo otro código malicioso encargado de robar contraseñas bancarias. El proceso es el siguiente:

Este troyano llega al equipo haciéndose pasar por un video de felicitación. Cuando el usuario abre el supuesto video, el troyano, efectivamente, cargará un divertido vídeo desde Internet, pero al mismo tiempo estará activándose y descargando en el equipo otro código malicioso, concretamente el también troyano Banker.LRX. Éste está diseñado para robar las claves de acceso a los servicios de banca online de distintas entidades bancarias.

Puede ver un vídeo que muestra lo que vería el usuario mientras está siendo infectado aquí: http://www.youtube.com/watch?v=OaQhFhVX6yI

Nabload.DLU, además, realiza una modificación en el Registro de Windows para activarse cada vez que el usuario reinicie el equipo, de tal manera que se asegura de estar siempre activo en el mismo.

Renus2008 es un adware del tipo de los falsos antivirus. Al ser ejecutado, muestra una pantalla en la que simula realizar un análisis del equipo. El código malicioso también ofrece la posibilidad de realizar un análisis rápido o en profundidad del equipo o de configurar diferentes aspectos del falso antivirus como si se tratase de uno legal (imagen aquí: http://www.flickr.com/photos/panda_security/3389596950/)

Una vez que termina el supuesto análisis, aparece un mensaje de alerta en el que se indica que se han encontrado ficheros infectados que en realidad no existen.

Al usuario se le ofrece la opción de desinfectar el equipo desde el botón “Remove Viruses” en el menú de la pantalla del análisis. Si lo intenta hacer, se le mostrará una ventana invitándole a registrarse y a adquirir la versión de pago del falso antivirus (imagen aquí: http://www.flickr.com/photos/panda_security/3389597848/)

“Si el usuario adquiere la versión de pago, estará pagando por un producto que en realidad no hace nada y que, en algunos casos, probablemente ni pueda descargarse”, explica Luis Corrons, director técnico de PandaLabs, que añade: “Se trata de un ejemplo más de cómo los ciberdelincuentes intentan engañar a los usuarios con el fin de hacerse con su dinero”.

MSNworm.FZ es un gusano que se propaga a través de la aplicación de mensajería instantánea MSN Messenger. Para ello, se adjunta en los mensajes haciéndose pasar por un fichero de imagen y se envía a toda la lista de contactos que el usuario tenga en esta aplicación.

Para engañar al usuario, una vez es ejecutado muestra un mensaje de error diciendo que la imagen no puede ser mostrada (”picture can not be displayed”)

Este gusano lleva a cabo en los ordenadores que infecta una modificación de la página de Inicio de Microsoft Explorer. Además, crea una entrada en el Registro de Windows a fin de ejecutarse con cada inicio de sesión.