En esta ocasión, nuestro Laboratorio ha encontrado un nuevo caso mediante el cual se aprovecha un sitio web para la propagación de códigos maliciosos. Se trata de una página que ofrece la descarga del conocido cliente de descarga de archivos para redes P2P, eMule. A continuación pueden ver una captura de la falsa web, que simula ser la oficial:


Los usuarios desprevenidos que accedan a la descarga del archivo en cuestión, descargarán en realidad un código malicioso que tanto ESET NOD32 como ESET Smart Security detectan bajo el nombre de Win32/Adware.NaviPromo. Un malware que, además de ejecutar constantemente ventanas emergentes con publicidad, posee propiedades de rootkit mediante el cual oculta su proceso malicioso.

Es importante que los usuarios que habitualmente utilizan las redes P2P para la descarga de archivos, sean conscientes que representan uno de los vectores más aprovechados para la propagación de diferentes códigos maliciosos, por lo que debemos actuar y prevenir en consecuencia. En nuestro artículo el malware en las redes P2P podrán encontrar más información sobre la relación que une a los códigos maliciosos con este tipo de redes.

Pero, miremos este malware con más detalle. Si comparamos los instaladores, es decir, el descargado desde el sitio web oficial del proyecto eMule y el descargado desde el sitio malicioso, notamos algunas leves diferencias como: cambia el nombre y el archivo malicioso es más pesado. Veamos una captura:

Instalador

Al momento de la instalación, también se observa una leve diferencia:


El tema es que, una vez ejecutado, el malware instala el verdadero programa eMule pero, paralelamente, también instala el malware en cuestión activando un proceso malicioso llamado "ftddkbah.exe", además se asegurar su ejecución en cada reinicio al agregar una referencia en la clave Run del registro.

Al finalizar la instalación, ejecuta una instancia del navegador abriendo una página web similar a la que se muestra en la próxima captura, desde la cual ofrece la descarga de un archivo llamado "Instant-Access.exe". Como se podrán imaginar, se trata de otro malware, en este caso llamado Win32/Dialer.InstantAccess.NAE, un tipo de troyano diseñado para acceder a determinados sitios web, por lo general con contenido pornográfico, a cambio de costosas tarifas telefónicas.

Como podrán apreciar, la propagación de malware se puede realizar, y de hecho se realiza, a través de diferentes vectores como se demuestra en este caso, donde la prevención por parte del usuario radica principalmente en la descarga de programas desde los sitios oficiales.

Estar atento, es una buena medida de protección.

Jorge