Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Nueva forma de ataques masivos a través de troyanos
 
VSantivirus No. 859 - Año 7 - Miércoles 13 noviembre de 2002

Nueva forma de ataques masivos a través de troyanos
http://www.vsantivirus.com/13-11-02.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy


La empresa MessageLabs, informó ayer, haber interceptado una gran cantidad de mensajes con el envío masivo de un troyano, conocido como W32/Maz.A, Tr/Mastaz, Troj/Inor.A, Downloader-BO, etc.

La extensión de esta amenaza, sugiere que las máquinas infectadas pueden ser utilizadas en alguna clase de ataques coordinados en gran escala (la descripción de este troyano, así como la de un segundo que es descargado y ejecutado luego por el primero, en los enlaces al final del artículo).

Los detalles (a la fecha) aportados por MessageLabs son los siguientes:
Número de copias interceptadas (al 12/nov/02): 615
Primer mensaje interceptado: 10/nov/02, 14:58 GMT
Origen del primer mensaje: Reino Unido
Cantidad de países en que se ha reportado como activo: 32

Porcentajes por países (los 5 con más incidencias)
                    
  Estados Unidos ...... 60,7 %
  Canadá ..............  9,3 %
  Corea del sur .......  5,0 %
  Gran Bretaña ........  3,2 %
  México ..............  2,1 %

Este troyano se conecta a una dirección de Internet, desde donde descarga y ejecuta otro troyano. Aunque hasta el momento se ha visto un solo tipo de troyano descargado por el primero (Jeem.A), nada garantiza que el mismo no pueda ser actualizado por otra versión, tal vez más destructiva.

Actualmente, el troyano descargado convierte a la computadora infectada en un servidor de correo SMTP, permitiéndole al atacante enviar correo a través de él, y lo que es más preocupante, puede ser usado para enviar a su vez al primer troyano en forma masiva, con el efecto multiplicador que ello significa.

El análisis de MessageLabs, indicaría que la primer oleada de troyanos se usó para crear nuevas plataformas de lanzamiento para enviar luego de todo el proceso, nuevos mensajes infectados con el primer troyano.

El troyano original no tiene rutinas de propagación, solo descarga y ejecuta al segundo troyano, el cuál puede convertirse en servidor SMTP para enviar a su vez, mensajes infectados a otros usuarios. El proceso es controlado por uno o varios atacantes en forma remota.

No se descarta la posibilidad que también se hayan enviado cientos de mensajes con el primer troyano a través de servidores que acepten entregar correo de otros dominios (open relay).

La alerta de MessageLabs viene por el hecho de que el o los atacantes, estarían creando una especie de ejército de troyanos, los cuáles podrían usar para otra clase de ataques (solo hay que cambiar el segundo troyano descargado para modificar el tipo de ataque).

En las primeras copias interceptadas el mensaje presentaba algunas deficiencias debido seguramente al programa usado para el primer envío masivo. He aquí un ejemplo:

  Asunto: mail %Space% %Space%
  Datos adjuntos: masteraz.exe (versión A)
                         jimkre.exe
(versión B)

  Texto:
  %Space% Hello! %Space% check %Space% out %Space%
  %Space%, the best %Space% FREE %Space% site! %Space%
  Message ID:
[número variable] %Space% 
  MessageNumber:
[número variable] %Space%

Note que la variable %Space% no tendría que ser visible, suplantándose por espacios. Pero esto falló por alguna razón.


Más información:

Troj/Inor.A. Descarga y ejecuta al troyano "Jeem.A"
http://www.vsantivirus.com/inor-a.htm

Troj/Backdoor.Jeem.A. Lo instala el troyano "Inor.A"
http://www.vsantivirus.com/back-jeem-a.htm

Computer hackers mass-mailing trojans
http://www.messagelabs.com/viewNewsPR.asp?id=109&cmd=PR



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS