martes, septiembre 05, 2006

Un troyano que modifica los resultados de las búsquedas.

Se han producido numerosos avisos de usuarios advirtiendo sobre la presencia de una aplicación maliciosa capaz de alterar los resultados de las búsquedas.

Gracias a las numerosas denuncias de usuarios que han llegado a la web de la 1ª Campaña contra el robo de identidad y el fraude on-line (www.nomasfraude.es), PandaLabs ha detectado a Zcodec, un nuevo programa malicioso.

Zcodec se incluye en un programa que supuestamente instala un paquete de códecs

Zcodec se incluye en un programa que supuestamente instala en el ordenador los códecs necesarios para reproducir un determinado formato multimedia.

Cuando el usuario procede a instalar dicha aplicación, se muestra una pantalla con una licencia de uso.

Sin embargo, ni se instala ningún códec, ni el programa espera a que el usuario acepte o no la licencia de uso, ya que en el momento que el usuario hace click en el archivo descargado, Zcodec se instala en el ordenador.

CÓMO ACTÚA

Una vez en el sistema, el primer paso es la instalación en el sistema de un "rootkit" (es decir, un programa diseñado para ocultar procesos, ficheros o entradas en el registro de Windows), de manera que el usuario no pueda ver los archivos que se encuentran en ejecución.

De esta manera, Zcodec instala dos ficheros ejecutables:

El primero de ellos modifica la configuración DNS del equipo afectado de forma que, cuando el usuario pulsa sobre algún resultado obtenido en motores de búsqueda como Google, la página a la que accede no es la deseada, sino otra distinta seleccionada por los creadores de la amenaza.

Con esta táctica, el autor o autores del programa pueden conseguir importantes beneficios económicos a través de sistemas de pago por click e, incluso, dirigir al usuario a páginas web diseñadas para robar datos confidenciales.

El segundo archivo ejecutable puede realizar dos acciones diferentes, si bien lleva a cabo una u otra de forma aleatoria:

* En algunas ocasiones instala en el sistema al troyano Ruins.MB, diseñado para descargar otros programas maliciosos en el equipo.
* Otras veces, dicho archivo lanza continuamente un programa de casinos, pidiendo permiso al usuario para continuar con la instalación del mismo. Sin embargo, aunque el usuario rehúse la instalación de dicho programa de casinos, se crea un icono en el escritorio de Windows que, cuando es pulsado, continúa con la instalación de dicho programa.

MUCHA CAUTELA

Para defenderse de este tipo de programas maliciosos, además de contar con un antivirus actualizado, es necesario asegurarse de la procedencia de los archivos descargados en el sistema, así como prestar atención a los acuerdos de uso de los programas que se instalan en el ordenador.

Enrique Martínez, director del Instituto Nacional de Tecnologías de la Comunicación (INTECO), anima a los usuarios a participar en esta 1ª Campaña contra el robo de identidad y el fraude on-line , y denunciar cualquier tipo de intento de fraude que puedan observar.

No hay comentarios: