La empresa PandaSoftware detectó esta semana dos códigos maliciosos diseñados para robar información bancaria e intentar finalizar procesos de seguridad y actualización de Windows, como son Clagge.B y Rizalof.HT, de manera respectiva.
En su informe semanal, Panda Software señaló que Clagge.B es un troyano de tipo downloader que, cuando es ejecutado, queda residente en memoria. Hace las modificaciones necesarias en el registro de Windows para poder evitar el control del firewall y poder ejecutar código malicioso.
Tras esto, se conecta a cierta dirección de Internet, desde donde descarga el archivo llamado suhoy341.exe, perteneciente al troyano Trj/Banker.CZI, diseñado para robar información bancaria de los usuarios.
Al igual que la mayoría de los troyanos, Clagge.B no puede propagarse por sí mismo sino que necesita de la intervención de usuarios maliciosos que lo hagan de forma manual. Así, puede encontrarse en archivos descargados de internet, en redes P2P (peer-to-peer) o en adjunto a mensajes de correo electrónico, entre otros.
Por su parte, Rizalof.HT es un troyano que crea un servidor proxy anónimo en las computadoras afectadas de manera que puedan ser utilizadas para el envío de spam.
Para ello, cuando es ejecutado, se conecta con un servidor desde el que descarga otros componentes y los instala en el sistema.Uno de ellos sirve precisamente para enviar spam. Además, intenta finalizar procesos de seguridad y actualización de Windows.
Para ayudar al mayor número de usuarios a analizar y/o desinfectar de manera puntual sus equipos, Panda Software ofrece de manera gratuita -en http://www.pandasoftware.es/home/default.asp – la solución antimalware online Panda ActiveScan, que ahora también detecta spyware.
Asimismo, la capacidad de proliferación global que han desarrollado los gusanos informáticos es el resultado de funciones complementarias creadas por escritores de malware que publican sus técnicas en un sitio de Internet.
Por su parte, el coordinador de Tecnología de Trend Micro México, Daniel Ortiz explica en un comunicado que los autores de estos códigos publican sus creaciones para que otros las utilicen y agreguen funcionalidades.
Un ejemplo de esto, señala, son las técnicas mejoradas de propagación y envío, lo que conduce a la creación de malware mucho más vanguardista y penetrante.
La velocidad con la que un autor puede explotar vulnerabilidades es esencial para un ataque exitoso con bots debido a que el periodo de oportunidad entre el anuncio de una nueva vulnerabilidad y el momento en que la mayoría de las PC han sido parchadas, es de entre 30 a 90 días, después de ese lapso es muy difícil infectar un sistema.
Además de que, hay muchos y diferentes grupos de autores de gusanos, cada uno compitiendo con los demás para construir sus propias redes robot.
Por ello, los autores saben que el tiempo y la oportunidad son muy valiosos, por que están en competencia entre ellos para infectar la mayor cantidad de máquinas posibles para conformar redes robot y evitar así que el otro grupo utilice esos mismos sistemas para crear sus propias redes.
Como resultado de esto, una vez que una vulnerabilidad se anuncia, los escritores están altamente motivados para crear sus propias formas de explotarlas, y ponerlas a disposición lo más rápido posible. De acuerdo con Ortiz, la mayoría de los bots explotan de forma diferente las mismas vulnerabilidades.
“Cuando una empresa se infecta, responde parchando sus sistemas contra la vulnerabilidad y los administradores suponen que no volverán a ser infectados”, dice Ortiz. Sin embargo, cada nueva vulnerabilidad los hace el blanco perfecto para nuevos ataques.
Ortiz regresa a las dos razones mencionadas, la velocidad de reacción para crear códigos que aprovechan huecos de seguridad y el uso modular del código malicioso.
Sin embargo, la vigilancia del usuario final será la mejor defensa, lo cual incluye mantener actualizados los sistemas y productos antivirus, pero sobre todo usar el sentido común.
Para salvaguardar sus máquinas de este tipo de amenaza, los expertos de Trend Micro aconsejan asegúrarse de que su sistema este actualizado con los parches más recientes de Microsoft y que las definiciones de su antivirus están actualizadas, para eliminar la molestia de tener que hacerlo de manera manual.
Además de incrementar las medidas de seguridad en su navegador, mientras más alta sea la configuración de seguridad del navegador, menor será la posibilidad de éxito de un atacante, si pudiera entrar, entre otras.
Fuente: El Economista, con información de Notimex
