9 de septiembre de 2015

El agosto pasado, la empresa Doctor Web ya informó sobre un troyano bastante difundido destinado para la instalación oculta de varias aplicaciones en equipos. Pero este sistema nocivo no es la única entre los instaladores de publicidad: otro troyano con un conjunto de funciones similar, al que dedicamos este artículo, se llama Trojan.InstallCube.339..

Igual que muchos otros instaladores de aplicaciones de publicidad y no deseadas, Trojan.InstallCube.339 puede ser descargado por los usuarios desde varios sitios web de intercambio de archivos y torrent trackers falsificados, creados a propósito por los malintencionados para difundir el software nocivo.

El tamaño del troyano Trojan.InstallCube.339 empaquetado es de 3,5 MB. Una vez desempaquetado, en la memoria del equipo llena una parte de los datos de la estructura del mismo con la información sobre los servidores administrativos — es probable que el propósito sea complicar el análisis de este programa nocivo. Luego el troyano recaba la información sobre el equipo donde fue iniciado, y visualiza en la pantalla un cuadro con un indicador del proceso de inicio.

Una vez recibidos los datos del servidor administrativo, Trojan.InstallCube.339 visualiza un cuadro de diálogo con la información sobre el objeto descargado, así mismo, el cuadro tiene un icono del torrent cliente popular mTorrent. La peculiaridad de los servidores administrativos de este programa nocivo es que los mismos permiten descargar la carga útil solo si el equipo de cliente que los consulta tiene la dirección IP rusa.

Al hacer clic del ratón sobre un enlace apenas visible «Settings» en la parte inferior de la ventana, al usuario se le visualiza un listado de programas adicionales que el troyano instalará en su equipo. Las casillas del listado de estas aplicaciones no están marcadas, pero pueden restablecerse en el modo «Instalación parcial».

Al hacer clic sobre el botón «Guardar» en la ventana anterior, se inicia la descarga del archivo necesario para el usuario y de todos los programas adicionales. Antes de finalizar, Trojan.InstallCube.339 borra a sí mismo.

Los expertos de la empresa Doctor Web aconsejan otra vez a los usuarios ser prudentes y no descargar los archivos de origen sospechoso. En caso de trabajar con torrent trackers es mejor usar los programas cliente de confianza y, por supuesto, instalar en su equipo el software antivirus moderno.