18 Feb 2011 | MALWARECITY.COM
Primer encuentroSi te preguntas donde puedes encontrar Trojan.FBClicker.A, se puede encontrar en una aplicación de red social que, a cambio de un "Me gusta", lleva al usuario a una gran cantidad de sitios web externos infectados con malware.
Configuración de la escena
Una vez en el sistema, FBClicker obedece a la indicación la "seguridad primero" y comprueba si se está ejecutando en una máquina virtual (VMWare) o si procesos como Wireshark.exe tcpview.exe se están ejecutando. La idea detrás de este paso es la de ejecutarse de manera tan indetectable como sea posible ya que este clicker y el programa de descarga que lo acompaña envían los datos recogidos en el sistema comprometido a su centro de control.
Además, las soluciones antivirus como MSASCui (Microsoft ® Windows ® Defender) y msmpeng (antispyware de Microsoft Windows Defender) también son desinstaladas, si se encuentran. De esta manera, nada se interpondrá en el camino de sus acciones maliciosas.
Haciendo el trabajo
Antes de ir más lejos, FBClicker comprueba la presencia de un par de archivos llamados ranga, Xanga, panga, eliminándolos, así como las claves del Registro asociadas; estos archivos son en realidad versiones más antiguas del mismo malware.
Con el fin de acceder a Internet siempre que quiera, FBClicker agrega excepciones al Firewall de Windows, creando así una brecha explotable para cuando los comandos de su centro de control comiencen a llegar.
Recibiendo los comandos desde el centro de control
FBClicker puede cambiar la página principal del navegador y redireccionar el navegador para visitar ciertas webs, una práctica común entre las aplicaciones adware. Al cambiar el motor de búsqueda y visitar páginas web, el atacante puede sacar más dinero de las campañas de afiliación, publicidad de pago por clic y similares. También recibe del centro de control, el intervalo que tiene que "dormir"hasta la apertura de otra página web mediante el navegador por defecto.
Otros comandos soportados son:
- Eliminar (que indica al malware que huya de la escena-un enfoque destinado a proteger a los creadores de la medicina forense del delito cibernético cuando las cosas se ponen fuera de control
-Descargar - usado cuando Clickerdesea invitar a unos cuantos amigos a la fiestadel ordenador ya infectado;
- Actualizar - usado sólo cuando losbotmasters lanzan una nueva versión del malware con características adicionales o mejor ofuscación;
- Finalmente, pero no por ello menos importante, el comando MSN que se dispara automáticamente una vez cada 23 minutos y propaga varios mensajes y enlaces a todos los contactos del MSN Messenger, si está presente
Con el fin de reducir al mínimo la sospecha, FBClicker no inicia todo su trabajo a la vez, sino que espera al menos una hora antes de empezar. Y para que la historia sea completa, el clicker y el downloader tienen un componente de gusano, así, crean un archivo autorun.inf y una copia de sí mismos en cada memoria USB que se conecta al sistema.
No hay comentarios:
Publicar un comentario