Malware - Nuevo troyano que se difunde por correo electrónico

UNAM-CERT recibió un reporte sobre un posible archivo malicioso, el archivo era de tipo ejecutable aunque tuviera un icono de documento de texto, esto lo hacen para despistar al usuario y ejecutarlo sin que el usuario se dé cuenta.

El archivo llega como un adjunto en correos que son enviados posiblemente por otra pieza de malware instalada previamente, o bien, por un usuario infectado en forma de spam (correo basura) como se muestra en la imagen:

Al ejecutar dicho archivo, que lleva por nombre "Label_Copy_USPS.exe", éste se replica en otra dirección del equipo pero con un nombre diferente. También agrega un archivo con el mismo nombre del ejecutable pero con extensión "txt". En este caso como “Label_Copy_USPS.txt”:

Si el troyano es ejecutado, se inyecta código en el proceso de ejecución "svchost.exe", que se traduce en que el malware se crea una copia del troyano en un archivo de nombre aleatorio, como en el siguiente ejemplo:

Con  la herramienta TCPView se detectaron las diferentes direcciones IP a las que intentaba establecer conexión la muestra utilizando el puerto 84. 

xxx.xxx.247.182:84, xxx.xxx.28.156, xxx.xxx.95.133:84, xxx.xxx.47.109, xxx.xxx.78.241:84, xxx.xxx.225.182, xxx.xxx.240.152, xxx.xxx.66.34:84

En el sitio web tcpiputils.com/dns-blackhole-list, cuatro de las direcciones IP aparecieronmarcadas como maliciosas en diferentes sitios de listas negras. 

Dejando interactuar a la muestra con Internet, se pudo observar que se agregaron algunos archivos a nuestro equipo durante el tiempo que el proceso se mantuvo activo.

Estos procesos generaron cierto tipo de archivos “xml” en los cuales se recaba información acerca del ordenador como las llaves de registro, sin olvidar que Windows se basa en estas para su configuración.

Dentro de un archivo xml pudimos encontrar las llaves de registro que estaban siendo recopiladas durante la ejecución del malware.

En el servicio VirusTotal, la muestra que tiene por firma “560bf3200af70c4bf9889b545fe386a5”,  muestra un reporte donde solo 29 de sus 36 motores antivirus lo detectan como un archivo malicioso, lo cual no es del todo bueno ya que existen usuarios que puedan estar desprotegidos contra esta amenaza:

Es un troyano que intenta conectar el ordenador a un servidor remoto por lo que recibe y ejecuta instrucciones, como para descargar y ejecutar archivos.

Se recomienda a todos los usuarios abrir con precaución los correos electrónicos de dudosa procedencia y evitar descargar su contenido en los ordenadores.

En caso de que el correo provenga de un contacto conocido, es adecuado confirmar con ellos el contenido del mensaje y no olvidar que estos pudieron haber sido infectados previamente.

Como recomendación general, es importante mantener actualizado el antivirus, de esta manera se le permite detectar los archivos que pudieran ser maliciosos y actuar a tiempo, también se recomienda tener el sistema operativo con las últimas actualizaciones.