Skip to content

Tarjetas y postales virtuales: el camino fácil para los troyanos

Publicado por Sergio Hernando el 17 febrero 2008

Hola,

Siguiendo un poco en la línea de recientes artículos sobre la fauna y flora que suele poblar el correo electrónico, he querido traer a portada un caso real y reciente, que ilustra lo peligrosas que pueden ser las postales y tarjetas virtuales como gancho para troyanizar equipos informáticos.

El spam, en este caso, es elaborado, y emplea de modo ilegítimo la imagen corporativa del proveedor de telefonía Orange, lo que causa familiaridad en las víctimas potenciales:

tarjeta orange

Los enlaces para descargar conducen a una aplicación ejecutable, llamada OrangeTM.exe. El directorio destino está desprotegido, con lo que podemos acceder alegremente a sus contenidos:

tarjeta orange

Los usuarios debidamente formados en estas cuestiones sospecharán que el ejecutable no es una postal virtual, ni tampoco nada que proceda de Orange. Se trata, una vez más, del típico y tradicional huevo kinder con sorpresita:

tarjeta orange

Lo siento por maty, pero NOD32 se traga esta muestra. Son varios los motores que no advierten peligro en el ejecutable, tal y como se puede comprobar.

¿Por qué no detectan los demás antivirus la muestra como lo que realmente es?

La respuesta es sencilla. Los antivirus jamás tienen tasas de detección del 100%, es decir, de cada 100 virus/troyanos/otros que analizan, jamás detectan a las 100 como perniciosas. Esto es debido a muchas razones, siendo la principal el tiempo de demora que existe entre el descubrimiento de una muestra y su inclusión en las firmas de detección del antivirus. Este tiempo puede ser variopinto, elevado y totalmente aleatorio, y es muy dispar según el producto antivirus que tengamos. Hasta que nuestro antivirus entienda como maliciosa una muestra, pueden pasar 5 minutos o 5 días. No hay un patrón que defina claramente tiempos de respuesta de los productos antivirus.

En el caso de motores heurísiticos, la detección por firmas se complementa con modelos de detección de innovaciones, comúnmente llamadas heurísticas. Dependiendo de la calidad de la heurística, el modelo será mejor o peor. Pero nunca detectará el 100% de las muestras maliciosas.

¿Qué hubiera pasado si me descargo y ejecuto ese archivo?

Se trata de la enésima variante de un viejo amigo, un downloader de la familia Banload. Este tipo de downloaders gestiona la descarga de los componentes verdaderamente maliciosos desde Internet una vez ejecutados, con lo que, debido a ese comportamiento, los downloaders se llaman habitualmente descargadores de troyanos. En este caso, la descarga se realiza mediante conexión HTTP contra el servidor donde está alojado el troyano secundario.

Una vez hay camino libre, el downloader se baja a su compañero y amigo el troyano, lo ejecuta y el equipo queda infectado de un modo transparente al usuario. Es frecuente que los troyanos descargados estén orientados al robo de credenciales bancarias.

¿Qué puedo hacer para evitar problemas?

* No abras correos de procedencia desconocida. Bórralos directamente.
* No pulses enlaces que acompañen a mensajes de correo, especialmente si son de origen desconocido, y muy especialmente si se repiten o si son extremadamente visibles. Las postales y tarjetas virtuales legítimas se pueden ver siempre sin descargar nada.
* No descargar ni ejecutar programas a los que lleguemos a través de mensajes de correo. Nunca.
* Confirmar con los posibles remitentes la legitimidad de la postal. Si esperas una postal de María, llama a María y pregúntale si te ha enviado algo.
* Ten tu producto antivirus actualizado. No es garantía de nada, pero es mejor que no tener nada.

Un saludo, y ojito con este tipo de mensajes.

Be Sociable, Share!

Categoría/s → Malware

6 comentarios
  1. 17 febrero 2008

    Hola,

    Nótese que, tal y como se aprecia en la captura del directorio, la muestra está en el servidor desde el pasado día 11 de febrero.

    Hoy estamos a 18, lo que implica que han pasado 7 días, y fijaos en cómo responden los motores, habiendo pasado un tiempo muy prolongado desde que la muestra está colgada.

    Muchos pensarán que la muestra puede haber sido colgada el día 11 en el servidor, pero que puede haber sido publicitada mediante el spam ayer mismo, lo que reduciría el tiempo transcurrido entre conocimiento de la amenaza y actualización de antivirus.

    Pues bien, lamento informaros que no es nuestro caso: el spam data del 11 de febrero. Espero que esto ayude a ilustrar la idea de que los antivirus son necesarios, pero que por sí mismos no son garantías de nada.

    Saludos,

  2. 18 febrero 2008

    “tiempo variopinto”, toma ya xD, del resto nada que objetar. Un minipunto menos para Nod32, aunque sigo pensando que es el mejor AV para MS Windows.

  3. 18 febrero 2008
    Sr.M0k0 permalink

    Que tal Sergio,

    El hecho es que me ha llegado un mail con phising de openbank y me gustaria saber que se puede hacer en estos casos. El mail es bastante cutre pero la web de openbank esta muy currada, y no me estrañaria que picara alguno.

    Saludos,

  4. 18 febrero 2008

    Sr.M0k0,

    He recibido ese phishing. Me da que no está ya activo, pero bueno, en un futuro puedes notificar el tema en

    ayuda@openbank.es
    fraudeinternet@policia.es

    Saludos,

  5. 19 febrero 2008
    Sr.M0k0 permalink

    Asi lo hare.

    Hasta otra.

  6. 19 febrero 2008
    jcbarreto permalink

    Si… aún tienes la muestra del “OrangeTM.exe”, puedes ponerlo en algun subdirectorio de PC de turno y pasar el Prevx CSI (version gratuita que *no* se instala :-) ), a ver si canta el Prevx.

    Lo tendrá casi seguro en la lista naranja.

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS