Para los programadores de troyanos, mantener un mecanismo de control confiable es un aspecto prioritario.  Cuando este mecanismo de control se basa en el uso de medios de comunicación confiables, se hace altamente complejo identificar y luego eliminar esos mecanismos de control.

El mecanismo usado en esta ocasión es bastante simple y efectivo.  El troyano es una DLL para Windows que al activarse, se conecta a Google Groups y accede a un grupo de noticias privado.  En este grupo de noticias se van subiendo instrucciones como si fueran artículos, por lo tanto el troyano las descarga y ejecuta.

De acuerdo a las estadísticas que el troyano registra en el mismo grupo de noticias y producto de la revisión de su código, ha sido posible deducir los motivos del atacante.  Se puede ver que es una implementación de prueba, para comprobar la factibilidad de usar un grupo de noticias como mecanismo de control.  Además el troyano está programado para actuar con gran sigilo, de tal forma que pueda recolectar información de cada computador sin que el usuario detecte nada anormal.

Link: Google Groups Trojan (blog de Symantec)

Desde diversos medios se informa sobre la existencia de un nuevo troyano, que se aprovecha de una vulnerabilidad no corregida existente en Excel.

El troyano es capaz de ocultarse en una hoja de cálculo que al ser abierta por el usuario, de inmediato crea una puerta trasera, por medio de la cual un atacante podría tomar el control de la máquina infectada.

Según la empresa de seguridad McAfee las versiones de Excel que se encuentran expuestas al troyano son:Excel 2000, 2002, 2003, 2007, 2004/2008 para Mac, Excel Viewer/Excel Viewer 2003.

Microsoft publicó un aviso de seguridad (Microsoft Security Advisory), por medio del cual informa que se encuentra analizando el problema con el objeto de publicar un parche que logre solucionar la vulnerabilidad detectada en Excel.

Link: New Excel Trojan Hits the Net (Vía The Register)

Estas versiones pirata de iWork ‘09 vienen con un paquete adicional llamado iWorkServices.pkg que contiene el software malicioso. El troyano se instala al momento de iniciar la instalación de iWork como un elemento de inicio en /System/Library/StartupItems/iWorkServices con permisos de root para lectura, escritura y ejecución. Luego el troyano se conecta a un servidor remoto a través de Internet notificando su presencia en una nueva víctima, permitiendo así el acceso remoto de intrusos al equipo con permisos para realizar cualquier acción.

Debido a que el troyano además puede instalar otros componentes en el equipo y modificar los programas existenes, eliminarlo no es tarea sencilla, por lo tanto aquellos que resultaron infectados deberán formatear el disco e instalar Mac OS X nuevamente pueden utilizar la herramienta gratuita de SecureMac para eliminarlo.

Para evitar correr este tipo de riesgos, lo recomendable es obtener la versión original de iWork ‘09, cuyo precio es de USD$79, o descargar una versión de prueba por 30 días.

Link: Pirated iWork ‘09 installer may contain trojan horse (Macworld)

Según la empresa ScanSafe, al ingresar al sitio ParisHilton.com se abre una ventana emergente que ofrece a los visitantes la opción de descargar un programa. Sin embargo, sin importar si se elije la opción “Yes” o “No”, el sitio intentará descargar al equipo un trojano llamado Trojan-Spy.Zbot.YETH, por lo tanto la única manera de evitar ser infectado es cerrar el navegador desde el administrador de tareas de Windows.

Además, hasta el momento sólo 12 de 37 antivirus lograron detectar el virus, por lo tanto le recomendamos a aquellos que lo suelen visitar con frecuencia no hacerlo hasta que todo vuelva a la normalidad.

Link: Paris Hilton’s Web Site Infected With Malware (Information Week)

Troyano dice no a la piratería

Los troyanos no son nuevos y están esparcidos en toda la red, pero el comportamiento del Troj/Qhost-AC es único ya que aparentemente no tiene efectos maliciosos en el sistema operativo, sino que impide que se descarguen torrents de Mininova y ThePirateBay. Estamos ante un troyano que busca evitar las descargas ilegales.

Deshacerse de este troyano es relativamente fácil, ya que solamente hace un par de modificaciones a los archivos hosts. Como es de esperarse, los sistemas operativos basados en Windows son los susceptibles a infectarse con este troyano bienhechor.

Link: “Altruistic” Trojan blocks Piratebay and Mininova access (Download Squad)

La eterna discusión sobre si los Sistemas Operativos de Apple son más seguros que los de Microsoft tal vez nunca finalice, pero que ambos tienen vulnerabilidades nadie lo puede negar.

Esta semana se han detectado dos ataques importantes que afectan al Sistema Operativo Mac OS X. El primero llamado ‘OSX.RSPlug.D’ es una variante de un programa de antigua data (RSPlug), pero que ahora viene con un nuevo instalador.

El troyano se contacta con un servidor remoto para descargar archivos e instalarlos en la máquina infectada.

El troyano RSPlug original comenzó a circular por la red hacia Octubre de 2007 e instala un programa llamado DNSChanger que redirecciona el tráfico de Internet del usuario por medio de un DNS malicioso, con lo cual lleva a los usuarios hacia sitios de pishing.

El segundo ataque sufrido por el Sistema Operativo de Apple se denomina ‘OSX.TrojanKit.Malez’, aunque algunas empresas especializadas lo han denominado ‘OSX.Lamzev’.

Se trataría de una aplicación programada para abrir puertas traseras, pero los análisis de los especialistas han concluido que no es una amenaza importante producto que para que sea efectiva, requiere que el atacante tenga contacto físico con la máquina.

Link: Mac OS X targeted by Trojan and backdoor tool (ZDNET)