Infección de los piratas del Caribe

Esta semana se ha detectado un nuevo malware que haciéndose pasar por un trailer de la última película de la trilogía “Pirates of the Caribbean” se propaga a través del correo electrónico no deseado (SPAM) y es detectado por ESET NOD32 bajo el nombre de “Win32/TrojanDownloader.Agent.BRJ”.

Esta amenaza nos llega como archivo adjunto bajo el nombre de “Official_Trailer_Pirates_of_the_Caribbean_At_World’s_End.exe” de 24 Kb de peso que, al ejecutar el supuesto avance de la película, muestra un mensaje simulando un error de códec.

ventana de error

El código malicioso copia en la carpeta “Temporales de Windows” los archivos y carpeta que se describen a continuación y levanta un proceso llamado “2.tmp”:

* 1.tmp: Pesa 1 Kb y no posee información alguna.
* 2.tmp: Pesa 13 Kb y en realidad se trata de un archivo ejecutable.
* Pirate_alert.exe: Pesa 3 Kb y es el encargado de generar la ventana de error.
* Carpeta con el nombre “1”: Aloja una copia falsa del archivo “svchost.exe” escrito en lenguaje Microsoft Visual C++ 6.0.

archivos creados y proceso lavantado

Actualización 5 de Junio de 2007.

El archivo “svchost.exe” es en realidad un programa que se encarga de cambiar la configuración del marcador telefónico de los usuarios que se conectan a Internet por Dial-up (Dialers).

Jorge

Autor , ESET

Síguenos