Al descargar el troyano downloader, el mismo permite la descarga de un gusano que ESET NOD32 detecta como Win32/Banwor.NBF, un password stealer desarrollado en Delphi y que, como su nombre lo indica, es utilizado para obtener usuarios y contraseñas para luego enviarlas al creador del malware.
El troyano se conecta al sitio http : // www.nokarv[eliminado].net/gbp[variable].js y en realidad este archivo .js es el archivo ejecutable del nuevo gusano ladrón de contraseñas.
Como se indicó anteriormente, la gran cantidad de usuarios engañados e infectados hace pensar que esta técnica podría seguir siendo aplicada, ya que al seguir obteniéndose usuarios y contraseñas, le permite al creador del malware seguir propagando sus amenazas.
Debido a que los creadores de malware han cometido un error al publicar el archivo dañino, es posible conocer la cantidad real de malware propagado en las estadísticas del hosting:
Como puede verse en apenas seis horas la cantidad de infectados continúa creciendo y en este momento es fundamental contar con una protección que detecte todas las amenazas propagadas y además desconfiar de cualquier correo que por ejemplo contenga mensajes poco comunes o en idiomas no manejados normalmente por el usuario.
Luego de la infección los datos recolectados son enviados al delincuente de la siguiente manera:
92% del tamaño original [ 551 x 359 ] - Click para ver tamaño original
En este caso la cantidad de datos recolectados sirve para seguir infectando otros usuarios a través del envío de más correos.
FUENTE
No hay comentarios:
Publicar un comentario