PandaLabs ha detectado la aparición de Spymaster.A, un troyano diseñado para robar todo tipo de datos de los sistemas a los que afecta y que gracias al empleo de un curioso sistema de ocultación, es capaz de hacerse pasar por la aplicación MSN Messenger, de manera que los usuarios no sospechen de su presencia en el sistema.
De hecho, combina características tanto de spyware como de keylogger, por lo que puede capturar desde los hábitos de navegación de los usuarios cuando se conectan a Internet, hasta los nombres de usuario y contraseñas de acceso a servicios, como pueden ser los de banca online.
Como la gran mayoría de troyanos, Spymaster.A no puede propagarse por sus propios medios, sino que necesita de la intervención de algún usuario malicioso. Así, puede llegar a los ordenadores como un archivo adjunto a mensajes de correo electrónico, o bien ser descargado desde páginas web, aplicaciones P2P, sistemas de mensajería instantánea, disquetes o CD-ROM infectados, etc.
Sea cual sea la forma en que llegue al equipo, si el usuario ejecuta un archivo que contenga a Spymaster.A, se crea el fichero syscont.exe, que es una copia del troyano. El proceso asociado a dicho archivo lleva por nombre Win serviço. Sin embargo, emplea un sistema de ocultación por el cual, en caso de que el usuario observe los procesos que se encuentran activos en memoria en el administrador de tareas, únicamente verá la supuesta ejecución de la aplicación MSN Messenger. Este proceso, en realidad, oculta las acciones de Spymaster.A. Asimismo, crea varias entradas en el registro de Windows con el objetivo de asegurar la ejecución de dicho archivo cada vez que se reinicie el ordenador.
El troyano crea también el fichero de texto syslogy.cc. En este archivo se almacenan los datos sobre los programas que el usuario ejecuta, las páginas web que visita, así como todos los datos que introduce a través del teclado. Este fichero será el que se envíe, a través de FTP, a una dirección dónde el atacante podrá recogerlo.
