Troyano aprovecha fama de Zotob para disfrazarse

Hay una nueva variante EJD de la familia de troyanos Downloader que se presenta ante el usuario simulando ser el parche que corrige la vulnerabilidad Plug and Play de Windows.

Downloader.EJD se enví­­a en forma de correo electrónico que dice contener la actualización que corrige el problema de seguridad que aprovecharon los gusanos Zotob e IRCBot para afectar a numerosas empresas.

En este caso haciendo uso de la ingenierí­­a social, intenta aprovechar la vulnerabilidad Plug and Play, aunque en realidad, como la mayorí­­a de los troyanos, Downloader.EJD no tiene capacidad de propagación propia, sino que ha sido uno o varios usuarios maliciosos quienes han preparado y enviado masivamente el correo electrónico que contiene a dicho troyano.

El archivo adjunto al mensaje que se enví­­a lleva por nombre MS05-039.exe, en caso de que el usuario ejecute el archivo recibido, el troyano se copia en el sistema bajo el nombre svchst.exe, y procede a ejecutarse. En ese momento, intenta desactivar determinadas aplicaciones de seguridad que se encuentren instaladas en el sistema y descarga, desde una dirección web, un fichero llamado test.exe, el cual contiene otro troyano llamado Agent.AII, que crea varios archivos en el sistema cuya función es robar información transmitida a través de páginas web en cuyas URLs se encuentren términos como: e-gold, e-bullion, intgold, 1MDC, Pecunix, GoldMoney, Virtualgold, NetPad, paymer, entre otros.

Se recomienda a los usuarios no abrir ninguna información que tenga que ver con la palabra Zotob o iRCBOT para prevenir algún tipo de infección.

Por: Staff High tech Editores