Herramienta bien diseñada para redirigir a páginas específicas del navegador y enviar mensajes al azar a toda la lista de contactos de tu MSN ®, entre otras cosas.
Primer encuentro
Si te preguntas donde puedes encontrar Trojan.FBClicker.A, se puede encontrar en una aplicación de red social que, a cambio de un "Me gusta", lleva al usuario a una gran cantidad de sitios web externos infectados con malware.
Configuración de la escena
Una vez en el sistema, FBClicker obedece a la indicación la "seguridad primero" y comprueba si se está ejecutando en una máquina virtual (VMWare) o si procesos como Wireshark.exe tcpview.exe se están ejecutando. La idea detrás de este paso es la de ejecutarse de manera tan indetectable como sea posible ya que este clicker y el programa de descarga que lo acompaña envían los datos recogidos en el sistema comprometido a su centro de control.
Además, las soluciones antivirus como MSASCui (Microsoft ® Windows ® Defender) y msmpeng (antispyware de Microsoft Windows Defender) también son desinstaladas, si se encuentran. De esta manera, nada se interpondrá en el camino de sus acciones maliciosas.
Haciendo el trabajo
Antes de ir más lejos, FBClicker comprueba la presencia de un par de archivos llamados ranga, Xanga, panga, eliminándolos, así como las claves del Registro asociadas; estos archivos son en realidad versiones más antiguas del mismo malware.
Con el fin de acceder a Internet siempre que quiera, FBClicker agrega excepciones al Firewall de Windows, creando así una brecha explotable para cuando los comandos de su centro de control comiencen a llegar.
Recibiendo los comandos desde el centro de control
FBClicker puede cambiar la página principal del navegador y redireccionar el navegador para visitar ciertas webs, una práctica común entre las aplicaciones adware. Al cambiar el motor de búsqueda y visitar páginas web, el atacante puede sacar más dinero de las campañas de afiliación, publicidad de pago por clic y similares. También recibe del centro de control, el intervalo que tiene que "dormir"hasta la apertura de otra página web mediante el navegador por defecto.
Otros comandos soportados son:
- Eliminar (que indica al malware que huya de la escena-un enfoque destinado a proteger a los creadores de la medicina forense del delito cibernético cuando las cosas se ponen fuera de control
-Descargar - usado cuando Clickerdesea invitar a unos cuantos amigos a la fiestadel ordenador ya infectado;
- Actualizar - usado sólo cuando losbotmasters lanzan una nueva versión del malware con características adicionales o mejor ofuscación;
- Finalmente, pero no por ello menos importante, el comando MSN que se dispara automáticamente una vez cada 23 minutos y propaga varios mensajes y enlaces a todos los contactos del MSN Messenger, si está presente
Con el fin de reducir al mínimo la sospecha, FBClicker no inicia todo su trabajo a la vez, sino que espera al menos una hora antes de empezar. Y para que la historia sea completa, el clicker y el downloader tienen un componente de gusano, así, crean un archivo autorun.inf y una copia de sí mismos en cada memoria USB que se conecta al sistema.
1 comentario:
Un virus que lo tiene todo. Vamos una joya.
Pues no me va a gustar nada en mucho tiempo.
Bueno, lo que de verdad sí me guste ya se hace saber por otros medios.
Una opción, a medias, es no establecer un navegador por defecto (teniendo instalados varios) e ir cambiando.
Publicar un comentario