Otras noticias
Más noticias
En el foro
Ir al foro de Seguridad
alerta

Una página falsa de YouTube es utilizada para propagar malware

Los sitios para compartir vídeos son el destino final para muchos de los que buscan entretenimiento en Internet, pero también son el lugar favorito de los ciber-criminales. Las cosas pueden ir muy mal, cuando tu sitio favorito para compartir videos, resulta ser un clon que insiste en que instales una aplicación adicional o códec. La estafa que hoy presentamos se basa en una falsa página de YouTube - una copia muy minuciosa de la original - que esconde algunas sorpresas desagradables en la manga.

25 Feb 2011 | MALWARECITY.COM
U

na vez que la víctima aterriza en esta falsa página, aparece un pop-up pidiendo permiso al usuario para ejecutar un plug-in Java sin firma confirmada, sin el cual no se podrá ver el vídeo. Este es un truco, así que tened cuidado y no caigáis en la trampa. La última vez que lo comprobamos, la mayoría de los sitios para compartir vídeos requerían un plug-in de Adobe ® Flash ®, no de Java.

Una vez que el usuario es engañado para pinchar el botón Ejecutar, una pieza de código malicioso [identificada por BitDefender ® como Trojan.Generic.KDV.128306] se descargará inmediatamente en el sistema de la víctima y se copiará en la carpeta temporal como services.exe con el fin de poder acceder a Internet.

Este Trojan.Generic.KDV.128306 inmediatamente inicia la comunicación con su centro de comando y control, accede a un determinado canal de IRC con un apodo formado con la siguiente estructura:%% [Idioma] [% operativo System%]%% nrRandom, registrándose con el nombre de usuario del Virus y el nombre "real": My_Name_iS_PIG_and_Iam_A_GaY%randomNumber%.(mi nombre es cerdo y soy gay)

Habiendo así establecido su identidad, el troyano se conectará en el canal con el comando JOIN: # # Turb0-XXX # #, donde un robot-maestro le dará instrucciones sobre qué hacer a continuación en el PC infectado. Las instrucciones le permiten descargar archivos, salvarlos con nombres concretos y, por supuesto, ejecutarlos.

Los archivos que el troyano descarga en el equipo afectado tienen varias capacidades maliciosas:

  • micro1.exe puede enviar mensajes a través de la ventana de chat de Facebook ® cuando el usuario está conectado a la red social, pero también es capaz de registrar la conversaciones de chat de populares clientes de mensajería instantánea como Pidgin, MSN ®, Yahoo ® e ICQ ®.

  • fsaf24.exe tiene capacidades de DDoS, y también contiene el código necesario para permitir que el malware se propague a través de tarjetas de memoria.

  • afasfa4.exe es capaz de redirigir las consultas de búsqueda realizadas en Google ™ y Bing y cuando se usan los navegadores más importantes, tales como Firefox, Internet Explorer ® y Chrome ®.

Y algo que es particularmente interesante es el hecho de que utiliza el mismo exploit técnicamente conocido como CVE-2010-3338, que utiliza el gusano Stuxnet para elevar su código y ejecutarse como administrador en sistemas protegidos con UAC.



Tags: alerta, malware, youtube
Boletín

Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.

Comentarios
LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
#1 | 28 Feb 2011, 10:51
Anónimo Spain

Yo no se como pueden vivir así los usuarios de windows.

Bien dicen que la ignorancia es la felicidad....

#2 | 01 Mar 2011, 19:32
Anónimo

que sorprendente, pero la pregunta es como se logra eliminarlo ya instalado y si el antivirus de la Pc no lo detecta

#3 | 29 Abr 2011, 20:40
Jerry

BION I'm impresesd! Cool post!

Entérate de cuándo hay nuevos comentarios

No se permitirán los comentarios que :
- puedan resultar ofensivos o injuriosos
- incluyan insultos, alusiones sexuales innecesarias y palabras soeces o vulgares
- apoyen la pedofilia, el terrorismo o la xenofobia

Autor
Comentario
BBCode (Ayuda): [b], [i], [u], [s], [quote], [code], [spoiler]
Publicidad
Ahora en LaFlecha puedes encontrar Cursos y Másters

  • Endesa
  • ¿Quieres saberlo todo sobre Hacking?