Te enojas si publico esta foto tuya en mi face??: Bots por Messenger

El día de ayer recibimos la notificación de que a través del Messenger se estuvo propagando un link a partir del cual podía ser descargado un código malicioso capaz de contactar a un servidor remoto y por medio de instrucciones específicas, permitía controlar al equipo infectado.

 

 



La muestra que se descargó fue l7fa7bjnoon-77be2268ce.exe, el cual, al día de hoy fue identificado como amenaza por los siguientes motores antivirus.

 

Su información digital es la siguiente:

 



Al ejecutar la muestra, se copió a sí mismo,con el nombre scheb.exe, a la ubicación:

C:/DocumentsandSettings/<usuario>/Datosdeprograma/

 

Desde ahí levantó un proceso con el mismo nombre que se encargó de realizar una conexión con el servidor IRC 50.X.X.10, a través de puerto 6667.

 

 



Además, modificó el registro de Windows para asegurar su ejecución con cada reinicio del sistema.

 



Al analizar el tráfico de red generado por el bot, se pudieron obtener los datos de conexión al servidor:

 

Por otro lado, el bot se actualizó automáticamente como el ejecutable bzhmer.com52eac7da1d.exe

 

 

El mensaje de propagación fue también actualizado y en éste, el ejecutable malicioso cambió.

 

 

Al ejecutarse el archivo bzhmer.com52eac7da1d.exe, como parte de la actualización del bot, éste creó el proceso svchots, muy parecido al proceso del sistema svchost, con el cual pretende confundir al usuario hacíendole pensar que es un proceso válido.

Este nuevo proceso, también se conectó al servidor IRC 50.X.X.10, a través de puerto 6667.

 

 

Actualizó el registro de Windows con el nombre del proceso svchots.

 

Como ya se ha publicado en reportes anteriores, la propagación de malware a través del Messenger y haciendo referencia a alguna red social, ha tenido mucho éxito y es uno de los vectores de ataque más utilizados por los cibercriminales. Lo mejor que se puede hacer cuando a través de un contacto, recibamos este tipo de mensajes, es cerrarlo y avisarle a nuestro “amigo” que es muy probable que su equipo esté infectado para que lo eliminen.

 

Este tipo de mensajes son y seguirán siendo muy comunes y siempre la mejor forma de defenderse de ellos, es estar informado.

Enviado por ialvarado el Vie, 05/27/2011 - 21:22