JS/TrojanDownloader.Pegel: un script poderoso

Durante el mes de junio, y particularmente las últimas dos semanas, hemos observado un código malicioso que, por un lado, no ofrece grandes innovaciones desde el punto de vista técnico pero que, por el otro, ha logrado indices de propagación elevados para este tipo de malware, llegando a ser detectado algunos días en el 2% de nuestros usuarios, según ThreatSense.Net. Se trata del script detectado por ESET NOD32 Antivirus como JS/TrojanDownloader.Pegel.BR, un código que viene embebido en archivos HTML y que utiliza técnicas de drive-by-download para descargar un archivo dañino en la computadora de la víctima.

Su propagación es a través del correo electrónico, como pueden ver en la siguiente imagen de un mensaje que ha sido filtrado por el antivirus ya que el malware fue detectado en el adjunto open.html:

JS/TrojanDownloader.Pegel.BR

Si se analiza el archivo HTML adjunto, el mismo posee un scripts ofuscado como se muestra en la siguiente imagen:

JS/TrojanDownloader.Pegel.BR

El archivo redirige el contenido hacia otro sitio con un script en Java que posee un exploit (detectado como JS/Exploit.JavaDepKit exploit, muy utilizado en algunos paquetes de exploits como Phoenix Exploit Kit) y este finalmente descarga a la computadora de la víctima el archivo detectado por ESET NOD32 como Win32/TrojanDownloader.Bredolab. Si el usuario accede desde un navegador no vulnerable (donde no es posible ejecutar el exploit), el mismo es direccionado a diversos sitios que van desde la venta de viagra hasta página promoviendo la “industria verde”, según la campaña en cuestión.

Como decía al comenzar, a pesar de que la amenaza no posee grandes innovaciones, su campaña de envío de spam (probablemente desde alguna red botnet) ha sido tan masiva que ha impactado directamente en su tasa de éxito, por lo que los usuarios estarán recibiendo esta amenaza en mayor proporción que otras similares.

Sebastián Bortnik
Analista de Seguridad

Autor , ESET

  • Julian

    Sebastian: es increible todo lo que sabes! admiro el trabajo que haces y hacen desde la compania!. Estoy muy interesado en estos temas y siempre leo el blog éste. siempre me dan ganas de ir a las charla que hacen desde eset, pero por mi edad (16 años) no puedo. (ademas de no tener tiempo)
    Felicitaciones y viva eset!
    Sin mas lo saludo con un abrazo
    Julian
    Argentina

    • http://www.eset-la.com/ Sebastian Bortnik

      Muchas gracias Julián por tus palabras.

      Sebastián

  • http://www.onthos.net Alberto

    SE ha infectado mi web. Cómo puedo desinfectarla?
    Un saludo

    • http://www.eset-la.com/ Sebastian Bortnik

      Hola Alberto,

      Deberías analizar el código de toda la web en búsqueda de scripts que hayan inyectado los atacantes y eliminarlos, así como también controlar las posibles vías de acceso que pueden ser vulnerabilidades o contraseñas débiles.

      Si eres cliente, contacta al soporte técnico que podrán ayudarte en el proceso.

      Sebastián

  • Pingback: ESET Informa: Informe de las amenazas informáticas más destacadas de Junio 2010 | Herramientas | Tecnología | e-Volution()

  • Juan

    A mi me apareció:
    Inicio.class – Java/TrojanDownloader.Agent.NBN (Troyano)
    y no logro eliminarlo, ¿Qué puedo hacer? Gracias.

    • http://www.eset-la.com/ Sebastian Bortnik

      Hola Juan,

      Contacta al soporte técnico que podrán ayudarte analizando tu sistema.

      Sebastián

  • Juan Andrés Zeni

    Hola. Mi web está infectada con este virus. Todos los archivos index.html de ella lo contienen. El pequeño gran problema que tengo es que mi NOD elimina todos los archivos que lo contienen, no los desinfecta, y estos archivos son necesarios para el funcionamiento de la web. Son muchos para desinfectarlos uno por uno.
    Agradecería cualquier idea que me puedan dar.
    Saludos.

    • http://www.eset-la.com/ Sebastian Bortnik

      Hola Juan Andrés,

      Contacta al soporte técnico que podrán guiarte para limpiar el servidor de malware.

      Sebastián

Síguenos