El gusano Kookface.EA, el troyano Pidief.A y el gusano P2Pworm.BJ centran el informe de PandaLabs de esta semana.

Koobface.EA, un gusano diseñado para propagarse a través de la red social Facebook y el troyano Pidief.A que aprovecha una vulnerabilidad de Adobe para infectar a los usuarios, protagonizan el informe de PandaLabs de esta semana.

Para propagarse a través de la red social Facebook, el gusano Koobface.EA publica en la página principal de Facebook del usuario infectado un nuevo video, de tal modo que éste será visible para todos sus amigos y contactos. Si éstos intentan ver ese video, serán redirigidos a una página que simula ser la de YouTube.

Una vez allí, se les pedirá que se descarguen una versión de Adobe Flash, necesaria para ver el video. En realidad, esa descarga no es otra cosa que una copia del gusano.

Para hacer más peligroso su ataque, este gusano descarga en los ordenadores infectaos otro código malicioso. Concretamente, el falso antivirus AntiSpyware Pro 2009. Este tipo de códigos maliciosos, pertenecientes a la categoría denominada adware, se caracteriza por simular llevar a cabo un falso análisis del sistema, detectando decenas de ejemplares de malware que, en realidad, no están en el equipo. A continuación, ofrecen al usuario la posibilidad de eliminarlos adquiriendo una versión de pago del falso antivirus. El objetivo, pues, no es otro que obtener un beneficio económico mediante la venta de esas versiones de pago.

Se pueden ver imágenes de este proceso de infección aquí: http://www.flickr.com/photos/panda_security/tags/koobfaceea/

El troyano Pidief.A  utiliza la vulnerabilidad de Adobe CVE-2009-1862 como método de infección. El exploit aprovecha una vulnerabilidad conocida al intentar abrir un documento PDF en cuyo contenido se encuentra embebido un objeto flash.

El visor de archivos Acrobat posee una funcionalidad para la ejecución de objetos flash que estén contenidos dentro de los archivos con extensión .PDF. Gracias a la librería authplay.dll el lector de archivos puede abrir el visor flash, y así mostrar dicho contenido. En este caso, en la información que se le envía a este ultimo esta incluida la instrucción de descarga de un fichero de malware, Trj/Pidief.A.. Una vez ha ocurrido esto, al usuario no se le mostrará ningún objeto flash.

Pidief.A puede servir  a su creador tanto para descargar más malware en el equipo afectado, como para conseguir el control total o parcial del sistema infectado.

P2Pworm.BJ es un gusano que está diseñado para robar información introducida en los formularios a través de los navegadores Internet Explorer y Firefox.

Esta gusano utiliza los siguientes medios para propagarse:

- programas de intercambio de archivos punto a punto (P2P): Crea copias de sí mismo en los directorios compartidos pertenecientes a varios programas, como Ares, BearShare, Emule, Imesh y Shareaza.

Otros usuarios de estos programas podrán acceder de manera remota a estos directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los archivos correspondientes a P2Pworm.BJ.

- Unidades extraíbles: Realiza copias de sí mismo en la carpeta RECYCLER de las unidades extraíbles. Además, crea un archivo AUTORUN.INF en dichas unidades, para así conseguir ejecutarse cada vez que se acceda a alguna de ellas.

- Programa de mensajería instantánea MSN Messenger: Envía mensajes que contienen una copia de sí mismo a todos los contactos del usuario que estén conectados en ese momento.