En el día de la fecha hemos detectado un troyano que tiene el objetivo de modificar el archivo hosts del sistema y que está orientado a diversos bancos de Latinoamérica (y más específicamente, Perú).
El troyano creado en el continente y en cuyo código fuente pueden apreciarse comentarios en español, es propagado a través del mensajero MSN de Microsoft a través del siguiente mensaje (errores incluidos):
quiero enviarle una postal a mi amor sera que esta esta bonita? que dices tu?
http://gusanito-videpostal.[ELIMINADO].net/inside/
Posteriormente, si el usuario comete el error de hacer clic, se descarga un archivo ejecutable desde el sitio de alojamiento gratuito Box.net. Lo recomendable es no hacer clic sobre el enlace ofrecido en el mensajero y, en todo caso, explorar cada archivo descargado con ESET NOD32 como se explica en configurando ESET NOD32 en MSN I y II.
El archivo ejecutable, detectado por ESET NOD32 como Win32/Qhost.NGQ, descarga un archivo hosts ya modificado desde un sitio web que ha sido vulnerado y donde se ha alojando un archivo PHP con el siguiente contenido:
Luego de esta modificación, el sistema afectado ingresará a la dirección IP especificada cada vez que el usuario solicite cualquiera de las URL de los bancos que aparecen en el listado.
Si desea conocer más detalles del funcionamiento del malware del tipo descripto recomiendo la lectura del artículo sobre pharming local y ver nuestro Video Educativo sobre este tema.
Cristian
