JS/TrojanDownloader.Pegel: un script poderoso
junio 29, 2010 12:24 pmDurante el mes de junio, y particularmente las últimas dos semanas, hemos observado un código malicioso que, por un lado, no ofrece grandes innovaciones desde el punto de vista técnico pero que, por el otro, ha logrado indices de propagación elevados para este tipo de malware, llegando a ser detectado algunos días en el 2% de nuestros usuarios, según ThreatSense.Net. Se trata del script detectado por ESET NOD32 Antivirus como JS/TrojanDownloader.Pegel.BR, un código que viene embebido en archivos HTML y que utiliza técnicas de drive-by-download para descargar un archivo dañino en la computadora de la víctima.
Su propagación es a través del correo electrónico, como pueden ver en la siguiente imagen de un mensaje que ha sido filtrado por el antivirus ya que el malware fue detectado en el adjunto open.html:
Si se analiza el archivo HTML adjunto, el mismo posee un scripts ofuscado como se muestra en la siguiente imagen:
El archivo redirige el contenido hacia otro sitio con un script en Java que posee un exploit (detectado como JS/Exploit.JavaDepKit exploit, muy utilizado en algunos paquetes de exploits como Phoenix Exploit Kit) y este finalmente descarga a la computadora de la víctima el archivo detectado por ESET NOD32 como Win32/TrojanDownloader.Bredolab. Si el usuario accede desde un navegador no vulnerable (donde no es posible ejecutar el exploit), el mismo es direccionado a diversos sitios que van desde la venta de viagra hasta página promoviendo la “industria verde”, según la campaña en cuestión.
Como decía al comenzar, a pesar de que la amenaza no posee grandes innovaciones, su campaña de envío de spam (probablemente desde alguna red botnet) ha sido tan masiva que ha impactado directamente en su tasa de éxito, por lo que los usuarios estarán recibiendo esta amenaza en mayor proporción que otras similares.
Sebastián Bortnik
Analista de Seguridad
Promedio: 5
1-9-2010 a las 4:10 pm
Hola Juan,
Contacta al soporte técnico que podrán ayudarte analizando tu sistema.
Sebastián
1-9-2010 a las 12:25 pm
A mi me apareció:
Inicio.class – Java/TrojanDownloader.Agent.NBN (Troyano)
y no logro eliminarlo, ¿Qué puedo hacer? Gracias.
19-7-2010 a las 8:59 pm
[...] Para conocer más sobre este código malicioso puede acceder al blog de laboratorio de ESET Latinoamérica: http://blogs.eset-la.com/laboratorio/2010/06/29/jstrojandownloader-pegel-un-script-poderoso/ [...]
14-7-2010 a las 10:07 am
Hola Alberto,
Deberías analizar el código de toda la web en búsqueda de scripts que hayan inyectado los atacantes y eliminarlos, así como también controlar las posibles vías de acceso que pueden ser vulnerabilidades o contraseñas débiles.
Si eres cliente, contacta al soporte técnico que podrán ayudarte en el proceso.
Sebastián
14-7-2010 a las 5:45 am
SE ha infectado mi web. Cómo puedo desinfectarla?
Un saludo
2-7-2010 a las 1:29 pm
Muchas gracias Julián por tus palabras.
Sebastián
29-6-2010 a las 6:34 pm
Sebastian: es increible todo lo que sabes! admiro el trabajo que haces y hacen desde la compania!. Estoy muy interesado en estos temas y siempre leo el blog éste. siempre me dan ganas de ir a las charla que hacen desde eset, pero por mi edad (16 años) no puedo. (ademas de no tener tiempo)
Felicitaciones y viva eset!
Sin mas lo saludo con un abrazo
Julian
Argentina