• Tweet

Un troyano no relacionado con el gusano Zotob parece atacar a equipos vulnerables con Windows 2000 aprovechándose de la paranoia provocada por zotob, dicho troyano se presenta como una actualización que repara el problema del gusano Zotob.

Una nueva variante del troyano “downloader” se presenta como una actualización que repara la vulnerabilidad publicada por Microsoft, publicada por Microsoft en el boletín MS05-039 a principios de Agosto. Dicha vulnerabilidad fue utilizada por Zotob para atacar equipos con Windows 2000, y podrá ser utilizada en un futuro para atacar equipos con Windows XP.

“Esta es una nueva forma de explotar la vulnerabilidad de Pulg and Play, en esta caso haciendo uso de Ingeniería Social, una estrategia ya utilizada para crear epidemias haciendo que los usuarios ejecuten archivos previamente recibidos”, comentó Luis Corons director de la firma Panda Antivirus del área de investigación.

Tal como ha pasado en otras falsas actualizaciones, la variante del troyano downloader.ejd disfraza la identidad del remitente de los correo electrónicos – en este caso, update@microsoft.com -- y utiliza como encabezado del subject “lo que necesitas saber acerca del gusano Zotob.a” para provocar que los usuarios lean el correo y abran el archivo que se adjunta.

Dicho archivo adjunto es llamado “MS05-039.exe” el cual pretende engañar a los usuarios, haciendolos creer que se trata de algo relacionado con el boletín de seguridad publicado por Microsoft.

Si downloader.ejd es instalado, este tratará de deshabilitar las aplicaciones de seguridad, después se tratará de descargar el archivo“test.exe” el cual contiene otro troyano “Agent.all”, este troyano instala un keylogger en los equipos. El keyogger trata de robar información enviada a través de sitios Web incluyendo términos que involucre la palabra “pay”, “e-gold” y “goldmoney”.