Los correos de Angelina Jolie desnuda siguen llegando casi en la misma proporción que lo hacen los correos de CNN y por eso dediqué un tiempito a analizar qué hace este singular malware.

Como siempre, el enlace del archivo dañino llega en un correo y el usuario termina descargando un programa llamado video-anjelina-jolie.avi.exe que evidentemente es ejecutable y no se debería descargar bajo ningún aspecto. El dominio desde donde se descarga el ejecutable cambia continuamente debido a que son sitios web vulnerables que se utilizan para subir los archivos.

Al ejecutar el archivo, se descarga un troyano detectado por ESET NOD32 como Win32/TrojanProxy.Small.NCA y que se copiará al sistema en c:windowsservices.exe y se ejecutará. A partir de este momento, el proceso se ejecutará cada vez que se inicie el sistema.

Al ejecutarse, el programa espera 5 minutos sin hacer nada para despistar a quien lo esté analizando. Luego, se inician múltiples procesos similares que se encargan de conectarse a un servidor en Internet ([eliminado]. 51.238.230/spm/slon.php aunque puede variar en cada variante del troyano):

Procesos

Estos procesos se encargan de descargar todas las direcciones de correo a las que se debe enviar spam y así asegurar la continuidad de la propagación. Luego de tener las direcciones de correo se comienza con el envío de spam utilizando para ello, distintos servidores SMTP con conexiones simultaneas:

Conexiones SMTP

No es difícil adivinar que la cantidad de procesos creados y las múltiples conexiones a Internet ralentizan el sistema a límites insospechados (incluso ocasionando pantallazos azules).

Esta campaña de propagación de malware está íntimamente relacionada con Antivirus XP 2008 y los nuevos archivos video-anjelina-jolie.avi.exe ya son detectados como Win32/TrojanDownloader.FakeAlert.FZ por ESET NOD32.

Cristian