Investigadores descubrieron un troyano que utiliza un nuevo truco para mantenerse activo, pero oculto, ya que aprovecha de vulnerabilidades en el código de Windows.

Un análisis de investigadores de BitDefender reveló el enfoque de este nuevo troyano. En lugar de actuar como un malware tradicional, Trojan.Dropper.UAJ difiere en que afecta a los equipos al parchar el archivo de biblioteca, comres.dll, lo que obliga a todas las aplicaciones a que confíen en él para ejecutar la amenaza.

Comúnmente, los troyanos se agregan a la clave de registro de arranque, lo que los hace fáciles de detectar por soluciones antivirus y usuarios astutos. Sin embargo, este troyano en particular hace una copia del archivo comres.dll, lo parcha, y a continuación, lo guarda en la carpeta del directorio de Windows.

"Los archivos DLL son generalmente muy sensibles, necesitan tener la versión correcta y ser compilados, ya sea en plataformas de 32 o 64 bits con el fin de seguir trabajando después de haber sido comprometidos", dijo Bogdan Botezatu, analista de amenazas electrónicas y especialista  en comunicaciones de BitDefender, a SCMagazine.com en un correo electrónico. "Este troyano, simplemente parcha el archivo adecuado con el fin de asegurar que el archivo DLL se mantenga compatible con las aplicaciones que lo utilizan".

El archivo abre una puerta trasera en el sistema infectado, dando al atacante el acceso para llevar a cabo las acciones administrativas en la PC. Esto incluye agregar y eliminar usuarios, cambiar contraseñas de usuario y ejecutar código.

"Si bien el modus operandi de este multi-usos es típico de todos los de su tipo, esta característica particular de parchar un archivo DLL hace que sea bastante único", dijo Botezatu. "Hemos visto sólo un enfoque similar, también apuntando a comres.dll, en 2010, en una variante de Trojan.PWS.OnlineGames".

Los conocidos como troyanos dropper, tradicionalmente infectan los sistemas a través de adjuntos de correo electrónico malicioso, en el que los usuarios dan clic en ellos, o a través de descargas drive-by, en la que las máquinas son infectadas simplemente por un usuario que navega en un sitio web contaminado, afirma.

"Una solución de seguridad que pueda proteger proactivamente contra amenazas emergentes, detendrá al troyano justo antes de parchar el sistema de archivos, minimizando así los riesgos asociados", dijo Botezatu.

Este troyano es un ejemplo clásico de malware diseñado para llevar a cabo a largo plazo la obtención de información.

"Los cibercriminales están trabajando duro para asegurarse de que sus creaciones permanezcan sin ser detectadas durante el mayor tiempo posible", afirma. "Aunque es muy poco probable que el parchar DLLs se perfeccione aún más, los creadores de malware sin duda mejorarán sus creaciones".