Campañas de malware con Alibaba y los 40 ladrones

Como hemos mencionado días atrás, existen herramientas para crear páginas que ayudan a la promoción de supuestos YouTube falsos para infectar usuarios. Si se presta atención al código fuente del HTML generado por esa herramienta, se puede apreciar que la aplicación fue generada (o al menos eso promocionan) por un grupo autodenominado “© 2008 ali baba & 40 , LLC”.

La creación de esta herramienta dió origen a una nueva campaña masiva de propagación de malware, funcionando sobre diversas plataformas sobre la que se destaca la red social FaceBook:

  • Usuario malintencionado promociona enlaces en la red social a través de sus perfil o en comentarios a otros usuarios
  • Un usuario desprevenido hace clic en el enlace ofrecido y es redirigido a diversos sitios
  • Estos sitios pueden visualizar videos falsos o contener un scripts ofuscados o enviar al usuario a un sitio de descarga de rogue
  • En cualquier caso la página visualizada (en este caso los videos falsos), a través de una vulnerabilidad en alguna aplicación, puede:
    • Descargar archivos PDF, SWF, MP3 manipulados para descargar archivos ejecutables
    • Directamente descargar archivos ejecutables
  • Ejecutar el archivo descargado
  • El usuario nunca se percata de la descarga y de la ejecución del archivo dañino

Las cientos (literalmente) de variantes de archivos maliciosos que actualmente estan participando de esta campaña son detectados por ESET NOD32 como:

  • El gusano de propagación masiva a través de FaceBook es detectado por Heurística como variante de Gusano Win32/Koobface
  • Los scripts ofuscados son detectados genéricamente como JS/Exploit.Pdfk
  • Los troyanos descargados son detectados por Heurística Avanzada como Win32/Agent o como probablemente una variante de Win32/Kryptik.BJ
  • Los archivos PDF descargados son detectados como PDF/Exploit.Pidief

Si bien los diversos perfiles dañinos de FaceBook son controlados y eliminados por la red social, debido a las múltiples formas de promocionar estos videos falsos, seguirán apareciendo nuevas herramientas y formas de crear campañas para infectar usuarios.

Por eso, es fundamental contar con una protección proactiva que detecte cada nueva variante y además se debe actualizar todas las aplicaciones.

Cristian

Autor , ESET

  • Manuel

    bueno aqui tengo problemas con el NOD32 y kaspersky que ninguno detecta los virus que ya mande a laboratorios eset.
    wisenis32.exe, y Rhosts32.exe

  • Hola Manuel, hemos recibido archivos con esos nombres donde en algunos casos los archivos se encuentran dañados y, por lo tanto no son detectados porque no constituyen amenaza alguna al no poderse ejecutar.

    Por otro lado, también detectamos códigos maliciosos que se propagan con esos nombres. Seguramente tu caso se ajusta a alguno de los dos casos comentados.

    Es imposible determinar si es un malware o no, o el estado del archivo ejecutable sólo por el nombre. De todas formas, si los has enviado a nuestro laboratorio, deberías haber recibido una confirmación de recepción.

    Saludos.

    Jorge

  • fernando

    disculpa pero no se como quitar ese virus

  • Hola Fernando:

    No se a cual malware te refieres de los mencionados en el post, pero cualquiera de ellos es detectado y eliminado por ESET NOD32, puedes descargarlo o incluso utilizar ESET Online Scanner.

    Cristian

  • Manuel

    estoy infectedo con los 2 virus pero ESET NOD32 no los detecta ya los envie completos para su análisis pero nadie constesta

  • Manuel

    gracias presisamete iva a cambiar el NOD32 pero ya lo detecta por la actualizacion de huristica

  • Hola Manuel:

    Efectivamente, las muestras enviada por tí son detectadas por heurística como una variante de Win32/Injector.FF y Win32/Rbot.DWC.

    Cristian

  • Facundo

    hace poco casi me infecto con este virus. fue por buscar videos de google video puede que se encuentre uno de estos en las pantallas sin imagenes de muestra y que ademas hay un link para ir hacia la pagina donde fue subido.
    puede que aparesca un aviso para descargar alguna especie de pluging. por suerte el nod me lo deteto (se recomienda ir a la parte de la cuarentena y borrarlo inmediatamente)

  • Pingback: Malware Analysis & Diagnostic()

  • chepe

    HOLA,CONSTANTEMENTE MI ESTE ME ABRE UNA VENTANA DE QUE ELIMINA Y PONE EN CUARENTENA UNA VARIANTE WIN32/KRYPTIK.VO, EL ANTIVIRUS FUNCIONA PREFECTAMENTE,LO QUE ME LLAMA LA ATENCION ES QUE APARECE ESE MENSAJE CON UNA NUEVA AMENAZA A CADA RATO,SABEN DE DONDE ME ESTAN MANDANSO ESOS TROYANOS?? O QUE HAGO?

    GRACIAS…

    • Hola:

      Seguramente existe un proceso activo en tu sistema que descarga este malware desde Internet.
      Por favor explora en modo prueba de fallos.

      Cristian

  • chepe

    GRACIAS CRISTIAN,ESO HARE,TE DIGO DESPUES QUE PASO….

  • chepe

    NO ME RESULTO HACER EL ESCANEO EN MODO SEGURO,ME SIGUEN APARECIENDO LOS BLOQUEOS CONSTANTES……

    • Hola chepe,

      Lee la pregunta 13 de las FAQ, y contacta al soporte técnico o a tu distribuidor.

      Sebastián

Síguenos