Conexión Dial-Up fraudulenta

Dentro de la amplia variedad de códigos maliciosos que cotidianamente estamos acostumbrados a ver, algunos de los más difundidos son los troyanos. A su vez, se podría realizar una clasificación teniendo en cuenta nada más que éste tipo de malware.

Es así que nos solemos encontrar, por ejemplo, con troyanos tipo banker (banqueros), downloader (descarga), dropper (transporta otros troyanos), dialers (marcador), entre otros.

En el caso del troyano “Win32/TrojanDownloader.Agent.BRJ”, cuya descripción se realizó en “Infección de los piratas del Caribe”, descarga en la computadora comprometida otro código malicioso pero del tipo “dialers” detectado por ESET NOD32 como “Win32/Diales.NCX”.

Los “Dialers” tienen como principal objetivo cambiar la configuración de la conexión Dial-Up realizadas vía Módem para conectar la computadora a líneas cuya tarifa es más costosa.

El “Win32/Diales.NCX”, al descargarse, realiza una copia de sí mismo dentro de la carpeta “1” (también creada por él) alojada en “Temporales de Windows” bajo el nombre de “svchost.exe” con un peso de 15 Kb. De igual manera, es el encargado de manipular la configuración de Internet Explorer agregando dos accesos directos a los favoritos y al Escritorio.

 

accesos directos y dialer

 

También modifica las siguientes claves del registro:

HKLMSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones2
HKLMSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMapDomains
HKLM\MicrosoftInternet ExplorerQuick Launch

Al hacer click sobre los accesos de Favoritos se direcciona hacia las siguientes páginas web intentando conectarse por medio del módem a los números telefónicos [eliminado] 899026932, [eliminado] 899020332, [eliminado] 7020102463:

Catalogo Caldo –> http://www.[eliminado].biz/members
Giochi e rilassamento –> http://www.[eliminado].com/members

páginas a las que intenta conectarse

Como se podrá observar, no todo lo que parece real lo es y es casi siempre por intermedio de técnicas de Ingeniería Social que los diseminadores de códigos maliciosos intentan convencer al usuario de ejecutar malware a través de mensajes llamativos como en este caso que se trató de establecer conexiones fraudulentas por intermedio de un “trailer”.

Jorge

Autor , ESET

Síguenos