El Laboratorio de Panda Software, PandaLabs, detectó la nueva variante EJD de la familia de troyanos Downloader que, como novedad, se presenta ante el usuario simulando ser el parche que corrige la vulnerabilidad Plug and Play de Windows.
Según el director de PandaLabs, Luis Corrons, se trata de una nueva forma de aprovechar la vulnerabilidad Plug and Play, aunque en este caso haciendo uso de la ingeniería social.
En realidad, como la mayoría de los troyanos, Downloader.EJD no tiene capacidad de propagación propia, sino que han sido uno o varios usuarios maliciosos quienes han preparado y enviado masivamente el correo electrónico que contiene a dicho troyano. Concretamente dicho mensaje presenta las siguientes características:
Remitente: [email protected]
Asunto: What You Need to Know About the Zotob.A Worm
Cuerpo: What You Should Know About Zotob
Por su parte, el archivo adjunto a dicho mensaje lleva por nombre MS05-039.exe, que se corresponde con la referencia dada por Microsoft a la vulnerabilidad Plug and Play.
En caso de que el usuario ejecute el archivo recibido, el troyano se copia en el sistema bajo el nombre svchst.exe, y procede a ejecutarse. En ese momento, intenta desactivar determinadas aplicaciones de seguridad que se encuentren instaladas en el sistema y descarga, desde una dirección web, un fichero llamado test.exe. Este último contiene otro troyano, llamado Agent.AII, que crea varios archivos en el sistema, cuya función es robar información transmitida a través de páginas web en cuyas URLs se encuentren términos como: e-gold, e-bullion, intgold, 1MDC, Pecunix, GoldMoney, Virtualgold, NetPad, paymer, entre otros. Además Agent.AII introduce varias entradas en el registro de Windows con el objetivo de asegurar su ejecución en todo momento.
