29/07/2005 - Lo más significativo de las variantes AC y AD del troyano Killfiles es que eliminan archivos clave para el correcto funcionamiento del sistema operativo, impidiendo que el equipo se inicie. En concreto, los dos troyanos borran:
- Todos los ficheros del directorio de Windows.
- Todos los archivos que se encuentran en las subcarpetas SYSTEM32, SYSTEM, INF y SERVICEPACKFILES del directorio de Windows.
- Los ficheros NTLDR, NTDETECT.COM, IO.SYS y COMMAND.COM del directorio raíz de la unidad C:.
Para poder eliminar los citados archivos en ordenadores con Windows 2003/XP/2000/NT es necesario tener derechos de administrador.
Habitualmente Killfiles.AC y Killfiles.AD son utilizados por otros troyanos para borrar datos del ordenador afectado. A su vez, dependiendo de la versión de Windows, mostrarán en pantalla el mensaje: FALTA NTLDR.
El siguiente troyano que mencionamos es Banker.AEP, que monitoriza el acceso a varias páginas web que, en su mayoría, corresponden a entidades financieras de Brasil. Para ello, busca ventanas cuyo nombre sea "IEFrame", y si localiza alguna intenta acceder al texto que indica la dirección web que se está visitando. Si la dirección coincide con la de determinadas entidades bancarias brasileñas, Banker.AEP cierra la ventana de Internet Explorer y muestra una página en portugués, que tiene un aspecto similar al de la web a la que se está intentando acceder y solicita datos confidenciales, como contraseñas. Si el usuario introduce dichos datos, el troyano los envía a dos direcciones de correo electrónico.
El gusano al que nos referimos hoy es Mytob.IJ, que utiliza un motor SMTP propio para enviarse. Igualmente, posee un cliente de IRC, a través del cual se conecta a un determinado servidor de IRC, del que puede recibir comandos que pueden permitir administrar de forma remota al equipo. Asimismo, emplea un exploit para aprovecharse de la vulnerabilidad LSASS.
En los equipos a los que afecta, Mytob.IJ busca -en el interior de ficheros con determinadas extensiones y en los archivos contenidos en los directorios temporales de Internet- direcciones de correo. Por contra, evita mandarse a direcciones que contengan determinadas cadenas.
La primera vez que se ejecuta un archivo que lo contiene, Mytob.IJ comprueba si ya está activa una copia suya y si es así procede a finalizar su ejecución. En el equipo al que afecta este gusano también hace copias de sí mismo en varios ficheros. A uno de ellos lo denomina hellmsn.exe, y después lo ejecuta, para que le ayude a reenviar los archivos "funny_pic.scr see_this!!.scr" y "myphoto_2005.scr" a través de MSN Messenger.
Para que el usuario no pueda comunicarse con determinados sitios de Internet, Mytob.IJ modifica el fichero %windir%\system32\drivers\etc\hosts, añadiendo varias entradas. Debido a ello, cuando cualquier programa intente resolver una consulta DNS hacia los sitios especificados, obtendrá una dirección no válida.
Finalizamos el presente informe refiriéndonos a dos herramientas de hacking. La primera es Ip-Harvester, que está basada en Messenger Service, que es una característica de Windows XP y 2000. En la práctica, Ip-Harvester envía mensajes publicitarios a ordenadores que estén conectados a Internet. Los mensajes aparecerán como pop-ups (ventanas emergentes, y debido a que no se muestra la dirección IP origen, su procedencia es desconocida).
La segunda herramienta de hacking que mencionamos es Redhand, que registra los nombres de los programas que se utilizan, junto con el horario y el tiempo en el que se ejecutaron. También registra las pulsaciones de teclado realizadas, y es capaz de monitorizar todas las acciones realizadas en el ordenador por distintos usuarios.
Sitio relacionado:
http://www.pandasoftware.es/virus_info/enciclopedia/
El informe de la presente semana centra su atención en tres troyanos, el Killfiles.AC, Killfiles.AD y Banker.AEP, un gusano llamado Mytob.IJ y dos herramientas de hacking, Ip-Harvester y Redhand. 
