Entre una de las acciones más comunes a realizar por los códigos maliciosos se encuentra la ejecución al inicio del sistema. Esto quiere decir que de manera “automática” intentan iniciarse al arrancar la computadora. ¿Por qué busca un atacante que su código se ejecute al inicio del sistema? El motivo de esta acción se debe a que antes que otros programas se inicien, el código malicioso podrá realizar los cambios necesarios en el sistema para lograr su objetivo.

Para llegar a esta respuesta, desde el Laboratorio de Análisis e Investigación de ESET Latinoamérica hemos recopilado información acerca de distintos códigos maliciosos propagados a través de correos falsos. Sobre un total de treinta y siete códigos maliciosos, el 80% de ellos realiza cambios en el registro de Windows para iniciarse durante el arranque del sistema. Estas amenazas pertenecen a seis familias de troyanos que se utilizan para robar información del usuario, como por ejemplo, credenciales de acceso a la banca electrónica.

Además, uno de los códigos maliciosos más utilizados para este fín es el Win32/Qhost detectado en el 50% de las campañas de propagación. Entre sus características principales, esta amenaza modifica el archivo hosts del sistema para realizar un ataque de pharming local, redirigiendo a la víctima a sitios de phishing. Cuando se ejecuta el troyano, se conecta a una dirección URL remota desde la que descarga un archivo de texto por el cual reemplaza al archivo original, forzando al usuario al caer en un servidor falso la próxima vez que intente acceder a la banca electrónica:

Ver más… »

Categories: Alertas, Malware
1 Comment »