Luego de informar desde el primer momento acerca de esta nueva metodología de propagación de malware a través de corrreos electrónicos, hemos analizado la forma en que los creadores de malware están adquiriendo las direcciones de correo desde las cuales envían más programas dañinos.

Al descargar el troyano downloader, el mismo permite la descarga de un gusano que ESET NOD32 detecta como Win32/Banwor.NBF, un password stealer desarrollado en Delphi y que, como su nombre lo indica, es utilizado para obtener usuarios y contraseñas para luego enviarlas al creador del malware.

El troyano se conecta al sitio http://www.nokarv[eliminado].net/gbp[variable].js y en realidad este archivo .js es el archivo ejecutable del nuevo gusano ladrón de contraseñas.

Como se indicó anteriormente, la gran cantidad de usuarios engañados e infectados hace pensar que esta técnica podría seguir siendo aplicada, ya que al seguir obteniéndose usuarios y contraseñas, le permite al creador del malware seguir propagando sus amenazas.

Debido a que los creadores de malware han cometido un error al publicar el archivo dañino, es posible conocer la cantidad real de malware propagado en las estadísticas del hosting:

Cantidad de descargas

Como puede verse, en apenas seis horas la cantidad de infectados continúa creciendo y en este momento es fundamental contar con una protección que detecte todas las amenazas propagadas y además desconfiar de cualquier correo que, por ejemplo, contenga mensajes poco comunes o en idiomas no manejados normalmente por el usuario.

Luego de la infección, los datos recolectados son enviados al delincuente, a través de una rutina de SMTP propia, de la siguiente manera:

Datos robados

En este caso, la cantidad de datos recolectados sirve para seguir infectando otros usuarios a través del envío de más correos.

Actualización 18/07/2008 13.30 Hs.

Cristian y Joaquín