Loading ...Los correos de Angelina Jolie desnuda siguen llegando casi en la misma proporción que lo hacen los correos de CNN y por eso dediquía un tiempito a analizar quía hace este singular malware.
Como siempre, el enlace del archivo dañino llega en un correo y el usuario termina descargando un programa llamado video-anjelina-jolie.avi.exe que evidentemente es ejecutable y no se debería descargar bajo ningún aspecto. El dominio desde donde se descarga el ejecutable cambia continuamente debido a que son sitios web vulnerables que se utilizan para subir los archivos.
Al ejecutar el archivo, se descarga un troyano detectado por ESET NOD32 como Win32/TrojanProxy.Small.NCA y que se copiará al sistema en c:\windows\services.exe y se ejecutará. A partir de este momento, el proceso se ejecutará cada vez que se inicie el sistema.
Al ejecutarse, el programa espera 5 minutos sin hacer nada para despistar a quien lo estía analizando. Luego, se inician múltiples procesos similares que se encargan de conectarse a un servidor en Internet ([eliminado]. 51.238.230/spm/slon.php aunque puede variar en cada variante del troyano):
Estos procesos se encargan de descargar todas las direcciones de correo a las que se debe enviar spam y así asegurar la continuidad de la propagación. Luego de tener las direcciones de correo se comienza con el envío de spam utilizando para ello, distintos servidores SMTP con conexiones simultaneas:
No es difícil adivinar que la cantidad de procesos creados y las múltiples conexiones a Internet ralentizan el sistema a límites insospechados (incluso ocasionando pantallazos azules).
Esta campaña de propagación de malware está íntimamente relacionada con Antivirus XP 2008 y los nuevos archivos video-anjelina-jolie.avi.exe ya son detectados como Win32/TrojanDownloader.FakeAlert.FZ por ESET NOD32.
Posts Relacionados:
