| Nombre común: Virtumonde
Nombre técnico: Spyware/Virtumonde
Peligrosidad: Baja
Tipo: Spyware
Efectos: Registra pulsaciones del teclado y muestra mensajes publicitarios periódicamente.
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 08/10/2004
Detección actualizada: 02/06/2008
Estadísticas Si
Protección proactiva: Sí, mediante las Tecnologías TruPrevent
Descripción Breve
Virtumonde es un programa espía, también llamado spyware, que crea una DLL (Librería de Enlace Dinámico). Esta DLL registra las pulsaciones del teclado y se conecta a una determinada página web para obtener información diversa y mostrar mensajes publicitarios periódicamente.
Virtumonde asocia dicha DLL al proceso de sistema explorer.exe, con lo que consigue colocarla residente en memoria. La DLL comprueba continuamente que nombrevirus esté en ejecución, procediendo a lanzarlo de nuevo en caso contrario.
Además, Virtumonde se registra como LSP (Layered Service Provider) para recoger datos del usuario sobre su conexión a Internet, como por ejemplo, hábitos de uso de Internet, páginas visitadas, datos de la conexión telefónica, inventario de las aplicaciones instaladas en el equipo, etc.
El spyware puede ser instalado en el sistema por numerosas vías, a veces sin que medie consentimiento expreso del usuario, así como con su conocimiento o falta del mismo respecto a la recopilación y/o uso de los datos ya mencionados. El spyware puede ser instalado con el consentimiento del usuario y su plena conciencia, pero en ocasiones no es así. Lo mismo ocurre con el conocimiento de la recogida de datos y la forma en que son posteriormente utilizados.
Nota:
LSP (Layered Service Provider) es una función de Windows que permite especificar una serie de programas para procesar todo el tráfico TCP/IP que tiene lugar entre Internet y las aplicaciones que estén accediendo a Internet (como el navegador web, el cliente de correo electrónico, etc.).
Por ejemplo, podría especificarse un programa de seguridad informática, que analice el tráfico en busca de virus u otras amenazas antes de cederlo a la aplicación destino del tráfico.
Sin embargo, esta misma estructura también puede ser utilizada por programas adware y spyware para interceptar la comunicación a través de Internet, con el agravante de que si se eliminan sin tomar precauciones, la conexión a Internet dejará de funcionar indefinidamente.
Síntomas Visibles
Virtumonde es fácil de reconocer a simple vista una vez ha afectado el ordenador, ya que muestra mensajes publicitarios periódicamente.
Efectos
Virtumonde realiza las siguientes acciones:
Crea una librería, que posteriormente asocia al proceso de sistema explorer.exe. De este modo, coloca dicha librería residente en memoria, para poder comprobar que el spyware esté en ejecución y lanzarlo de nuevo en caso contrario.
Registra las pulsaciones del teclado.
Intenta conectarse a una página web para obtener información diversa.
Muestra periódicamente mensajes publicitarios.
Intenta registrarse como un servicio de Windows.
Se registra como LSP (Layered Service Provider) para recoger datos del usuario sobre su conexión a Internet, como por ejemplo, hábitos de uso de Internet, páginas visitadas, datos de la conexión telefónica, inventario de las aplicaciones instaladas en el equipo, etc.
Nota:
LSP (Layered Service Provider) es un sistema proporcionado por Windows para poder escuchar todo el tráfico TCP/IP que tiene lugar entre Internet y las aplicaciones que estén accediendo a Internet (como el navegador web, el cliente de correo electrónico, etc.).
En dicha estructura, se especifica una serie de programas que realizarán determinadas acciones sobre el tráfico TCP/IP; por ejemplo, podría especificarse un programa de seguridad informática, que analice el tráfico en busca de virus u otras amenazas antes de cederlo a la aplicación destino del tráfico.
Sin embargo, esta misma estructura también puede ser utilizada por programas adware y spyware para interceptar la comunicación a través de Internet, con el agravante de que si se eliminan sin tomar precauciones, la conexión a Internet dejará de funcionar indefinidamente.
Metodo de Infección
VirtuMonde crea los siguientes archivos:
_UPDATE.DAT en el directorio temporal de Windows. Este archivo es una DLL (Librería de Enlace Dinámico).
Un archivo con nombre aleatorio y extensión DLL en las siguientes subcarpetas del directorio de Windows:
ADDINS, APPPATCH, ASSEMBLY, CONFIG, CURSORS, DRIVER CACHE, DRIVERS, FONTS, HELP, INF, JAVA, MICROSOFT, MICROSOFT.NET, MSAGENT, REGISTRATION, REPAIR, SECURITY, SERVICEPACKFILES, SPEECH, SYSTEM, SYSTEM32, TASKS, WEB, WINDOWS UPDATE SETUP FILES.
VirtuMonde crea las siguientes entradas en el Registro de Windows:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
SysUpd = %archivo%
donde %archivo% es el nombre de un archivo ejecutable de nombre aleatorio creado por VirtuMonde.
Mediante esta entrada, VirtuMonde consigue ejecutarse cada vez que se inicia Windows.
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon\ Notify\ %nombre-dll%
donde %nombre-dll% es el nombre aleatorio de la DLL que ha creado en las subcarpetas del directorio de Windows, pero sin su extensión DLL.
HKEY_CURRENT_USER\ Software\ Microsoft\ SysUpd
Método de Propagación
El spyware puede ser instalado en el sistema a través de numerosas vías, entre las que se encuentran: troyanos, que los instalan sin consentimiento del usuario; visitas a páginas web que contienen determinados controles ActiveX o código que explota una determinada vulnerabilidad; aplicaciones con licencia de tipo shareware o freeware descargadas de Internet, etc.
Otros Detalles
Virtumonde está escrito en el lenguaje de programación Visual C++ v7.10. Este spyware tiene un tamaño de 307200 Bytes.
|
|
