SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
| |
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | |||
Fribet: un Troyano con Keylogger y técnicas Rootkit recibido por mail aprovechando la situación del próximo evento Olímpico
Hace unos días, se recibió en McAfee Avert un archivo malware relacionado con la situación tibetana.
Aparentemente parece una simple presentación en flash, por lo menos a juzgar por el icono. Al ejecutar el archivo, llamado RaceForTibet.EXE, se visualiza una historieta con un gimnasta chino muy experto que realiza un cierto ejercicio asombroso enrollado en un "vaulting Bbox" para el que el jurado le otorgó un 0 , al mismo tiempo que le daba una descarga eléctrica!
Luego, mientras se repite el ejercicio del gimnasta, visualiza unas cuantas fotografías bastante brutales de acontecimientos verídicos, ocurridos entre China y el Tíbet, como una visión retrospectiva.
Los investigadores de malwares de McAfee Avert, miraron más a fondo para ver si había algo más que la crítica política sobre los acontecimientos que ocurrían entre el Tíbet y China, especialmente después de los dos artículos editados por Avert recientemente:
y detectaron un troyano Rootkit Keylogger que pasó a ser identificado como troyano FRIBET:
|
|
|
|
|
|
|
|
Utilizando el "McAfee Rootkit detective" para ver procesos ocultos y demás se pueden observar lo archivos instalados sigilosamente en el sistema. Entre ellos los del rootkit en cuestión:
Como puede verse en la imagen anterior, ahora existen unos cuantos archivos ocultos en el sistema de la vista de cualquier "usuario-normal".
El archivo original (RaceforTibet.EXE) genera un archivo llamado "dopydwi.sys" en la carpeta del sistema, para XP: windows/system32/.
Dicho rootkit es además un keylogger que se presenta como mensaje político.
El archivo del DOPYDWI.DLL creado en el sistema se utiliza para hacer keylogging real. Con ello crea un fichero diario (dopydwi.log) que es ocultado y guardado en el sistema almacenando toda la información recopilada en la máquina infectada.
Ejemplo del contenido del fichero dopydwi.log:
[2008-04-10
07:14:53] Ethereal: Save file as [C:\Program Files\Ethereal\ethereal.exe]
tibetan-capture
[2008-04-10 09:37:08] Save Image [C:\Program
Files\GIMP-2.0\bin\gimp-2.2.exe] sdt-bigj
[2008-04-10 09:45:22] Mozilla Firefox Start Page - Mozilla Firefox
[C:\Program Files\Mozilla Firefox\firefox.exe]
www.avertlabs.com
logtest.txt
[2008-04-10 09:46:24] Google - Windows Internet Explorer [C:\Program
Files\Internet Explorer\iexplore.exe]
testing search engine
La IP remota a donde se envían estos datos está ubicada en China (bastante curioso al aparentar ser propaganda política antichina...)
Fuente :
Siempre que hay acontecimientos mundiales, Campeonatos de Fútbol, Juegos Olímpicos, catástrofes naturales o acontecimientos que afectan la sensibilidad de las personas, son aprovechados para “colar” virus y troyanos,,,
Actualmente se aprecia un aumento de los ataques realizados por la gente que se aprovecha del interés, que los medios han levantado en todo el mundo, sobre tan dramáticas circunstancias (atentando contra los derechos humanos)
Mucho cuidado con nuevos ficheros, noticias, mails y demás relativos al particular...
¡¡¡ Como este habrá muchos, seguro !!!
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 17 de Abril de 2008
