Revista Informática

“Order status -950533 30.07.2014.xls”, un Excel que en realidad es un .exe

Publicado el 01 agosto 2014 por José José Molino Ortega @BlogLinceus
Tal y como es habitual en estos casos se debe llamar la atención de los usuarios de alguna forma, y en esta ocasión han escogido la realización de una compra con una supuesta tarjeta de crédito propiedad del usuario. En ningún momento se menciona la número de la tarjeta, únicamente se indica que se ha realizado una compra y que en el archivo adjunto se pueden ver más detalles sobre esta operación. El cuerpo del correo electrónico no muestra más información ni es mucho más elaborado, algo que sería un indicativo de la falta de veracidad que tiene.

El archivo es un ejecutable que instala un virus

El usuario que realice la descarga se encontrará con una carpeta comprimida con el nombre de 950533-30.07.2014.zip que contiene a su vez el supuesto .xls. La ejecución de este archivo supone la instalación de unmalwareque se encarga de monitorizar la actividad del teclado del equipo del usuario. Aunque parezca algo obvio, sobre todo porque es un .exe, elmalwaresolo ha sido desarrollado para afectar a equipos Windows y no se ha encontrado aún su versión para otros sistemas operativos. Spyware.Password, que así es como se denomina por muchos de los antivirus y herramientas de seguridad existentes, realiza una primera tentativa de conexiones a las siguientes direcciones:
  • jobengine.in/333
  • legusadvantage.com/333
  • davidtaylorartist.com/333
  • asustabletservisi.com/333
  • mycustomkidsbooks.com/333
  • redhorsesolutions.com/333
  • tencoolthings.com/333
  • wwwtokiodesign.com/333
  • extreme-bdsm-comics.com/333
Esto propicia la llegada de unmalwareadicional conocido con el nombre de Downloader-FAGM!A38ABF1A8592 que a su vez intenta conectarse a otras direcciones. Este se encarga de descargar barras de herramientas de navegadores para tratar de espiar la navegación del usuario e instalar programas que hacen llegar publicidad al equipo y que degradan el rendimiento de este. El bloqueo de estas direcciones supondría evitar que la infección prolifere y se complete, teniendo solo que eliminar elkeyloggerque ha llegado al sistema. fuente:Redeszone

Volver a la Portada de Logo Paperblog