Seguridad Informatica

[Lord of the nigth]

 



Se ha detectado la aparición del nuevo troyano Briz.R, diseñado para permitir a un delincuente el control remoto de los ordenadores afectados, así como para redirigir a los usuarios hacia falsas páginas web diseñadas para robar datos confidenciales.



El origen de Briz.R se encuentra en la trama de venta y creación de troyanos personalizados Briz que PandaLabs descubrió y desmanteló hace unos meses. Además,  "después de examinar el código de este nuevo troyano, estamos casi seguros de que es obra del mismo autor que diseñó el primer troyano Briz. Por lo que parece, ya que su negocio de venta de troyanos personalizados no pudo seguir adelante, ha decidido utilizarlos para conseguir beneficios económicos de forma directa".



Briz.R puede llegar al ordenador por cualquier vía (páginas web, descargas de programas sospechosos, etc.). Sin embargo, su autor no los ha distribuido de forma masiva en un intento de evitar ser detectado por las compañías de seguridad.



El ataque de Briz.R comienza con la instalación de un archivo llamado iexplore.exe, que tiene como misión comprobar si existe conexión a Internet. En caso positivo, descarga otro archivo llamado ieschedule.exe, que permite almacenar parámetros de configuración del troyano, como puede ser el número del puerto por el que enviará la información robada.



Otro de los componentes descargados es ieserver.exe, que es el encargado de crear un servidor web en el equipo. La función de este servidor web es la de redirigir al usuario hacia falsas páginas web -diseñadas para robar datos personales- cada vez que intente acceder a ciertas de direcciones de Internet, muchas de ellas correspondientes a servicios financieros online. En caso de que el usuario introduzca datos en las páginas falsas, el troyano robará y enviará los datos al delincuente.



Este servidor web también permite el control remoto del ordenador afectado, a través de la instalación de una aplicación programada en PHP llamada phpRemoteView.



Además, Briz.R también descarga un componente llamado smss.exe, que modifica el archivo hosts del sistema, de manera que impide el acceso a un gran número de páginas web relacionadas con seguridad informática.






"Códigos maliciosos como Briz.R están diseñados para tratar de pasar desapercibidos tanto para los usuarios como para las compañías de seguridad. Este es un problema que es necesario resolver empleando soluciones tecnológicas. Los antivirus tradicionales ya no son suficientes, y deben ser complementados con tecnologías proactivas capaces de detectar por sí mismas la presencia de malware, sin necesidad de actualizaciones".