10 de junio de 2016

Entre los programas nocivos de hoy hay una categoría peculiar de troyanos llamada «sin cuerpo» por los expertos de seguridad informática. En realidad, no están presentes en el equipo infectado como un archivo separado, sino funcionan directamente en la memoria operativa usando varios contenedores para guardar a sí mismos, por ejemplo, el registro de sistema Windows. En este artículo la empresa Doctor Web informa sobre un representante del grupo de troyanos «sin cuerpo», llamado Trojan.Kovter.297.

Trojan.Kovter fue difundido usando otro troyano — Trojan.MulDrop6.42771, creado a propósito para instalar aplicaciones nocivas en los equipos atacados. Este vínculo se detecta por el Antivirus Dr.Web bajo el nombre Trojan.Kovter.297. A pesar de la aparente simplicidad de su destino, Trojan.MulDrop6.42771 tiene una estructura bastante complicada. El código del troyano contiene muchas líneas aleatorias y solicitudes de funciones, para que su análisis sea más complicado, y la biblioteca nociva básica está oculta en los recursos de Trojan.MulDrop6.42771 como imagen. Este troyano sabe detectar si el equipo tiene iniciadas las máquinas virtuales y otros medios de reparación usados normalmente por los analistas de virus para investigar las muestras del software nocivo, al detectar las cuales, finaliza. Además, puede visualizar en la pantalla del equipo mensajes aleatorios y desactivar la función de control de las cuentas del usuario Windows (User Accounts Control, UAC).

Trojan.MulDrop6.42771 puede asegurar su propio autoinicio en el sistema de siete modos distintos, y para iniciar la carga útil los creadores del virus han previsto seis varios métodos en total: Trojan.MulDrop6.42771 usa el indicado en su configuración. Además, este programa nocivo puede copiar a sí mismo a las carpetas raíz de todas las unidades conectadas al equipo infectado, creando allí el archivo de autoinicio autorun.inf, es decir, se difunde como si fuera un gusano.

Como hemos mencionado más arriba, algunas muestras de Trojan.MulDrop6.42771 contienen un troyano sin cuerpo de la familia Trojan.Kovter. Suele iniciarse por el troyano media, pero tiene también su propio mecanismo de autoinicio. Este programa nocivo crea varias entradas en el sistema: una de ellas contiene el cuerpo mismo del troyano, cifrado, otra – un script para descifrarlo y cargarlo en la memoria del equipo. Los nombres de estas entradas incluyen los caracteres especiales que no pueden ser leídos, por lo tanto, el programa estándar regedit no puede visualizarlos.

En realidad, Trojan.Kovter funciona en la memoria operativa del equipo infectado sin guardar su propia copia en la unidad como archivo separado, lo que en cierto grado dificulta la búsquea y la desinstalación del mismo. En cuanto a la funciones nocivas, Trojan.Kovter puede considerarse un troyano de publicidad — sin que el usuario lo note, inicia en modo de segundo plano varias copias del navegador Microsoft Internet Explorer, «visita», usando las mismas, los sitios web indicados por los malintencionados y aumenta de forma falsificada el número de consultas de la publicidad al hacer clics sobre los enlaces de publicidad y banners. De esta forma, los malintencionados obtienen beneficios de los organizadores de programas socios y los anunciantes que publican la publicidad con pago por pulsaciones y por seguir los enlaces.

Aunque Trojan.Kovter intenta funcionar en el equipo infectado de forma oculta, el escaneo del equipo por el Antivirus Dr.Web permite desinfectarlo. Recomendamos a los usuarios actualizar regularmente las bases de virus y escanear su equipo si surgen dudas sobre la existencia del software nocivo en el mismo.

Más información sobre Trojan.MulDrop6.42771
Más información sobre Trojan.Kovter.297