30/12/2005 - Esta semana Nabload.U y Banker.BSX causaron miles de incidencias en ordenadores de todo el mundo, hasta llegar a ser los ejemplares de malware más frecuentemente detectados por la solución antivirus online y gratuita Panda ActiveScan.
Nabload.U y Banker.BSX son dos troyanos íntimamente ligados, ya que para instalarse en los ordenadores llevan a cabo un ataque combinado. Éste se inicia con la recepción, a través de MSN Messenger, de un mensaje que simula proceder de uno de los contactos de la citada aplicación e incita a visitar una determinada página web. En la práctica, cuando se visita la referida web, Nabload.U se descarga en el sistema, en el que además descarga a Banker.BSX. En el equipo al que afecta, Banker.BSX lleva a cabo varias acciones, entre las que destacan las siguientes:
- Envía, a los contactos de MSN Messenger, mensajes con el enlace desde el que se descarga Nabload.U.
- Abre el puerto 1106 y queda residente en memoria.
- Monitoriza si el usuario accede a determinadas páginas web, pertenecientes a entidades bancarias de habla hispana. Si se accede a alguna de ellas, captura los datos que se introducen en ellas (como las contraseñas), que posteriormente envía a una dirección de correo electrónico.
El tercer troyano al que nos referimos es AKStealer.A, que no posee medios propios de propagación, por lo que depende de la distribución manual de terceros (por correo, descargas de Internet, transferencia de ficheros a través del FTP, u otros medios). Tras instalarse en un PC, realiza varias acciones, entre las que sobresalen las que se mencionan a continuación.
- Obtiene los nombres de usuario y contraseñas de proxies de Internet Explorer, Outlook, cuentas de Google, ebay, Monster.com, Paypal, e-gold, Careerbuilder.com, GMX.net y Passport. La información que obtiene la guarda en el Registro de Windows, para después enviarla a un sitio web por medio de un script PHP.
- Instala un servidor proxy en el ordenador afectado, y registra su dirección IP para así poder utilizarlo.
- Crea varias entradas en el Registro de Windows y, mediante algunas de ellas, quedará como el depurador predeterminado de otras aplicaciones comunes como, por ejemplo, Internet Explorer, Explorador de Windows, y Reproductor Multimedia de Windows, etc. De esta forma, AKStealer.A consigue activarse automáticamente cada vez que se ejecute alguno de los citados programas.
Finalizamos el presente informe con Metafile, exploit o código escrito específicamente para aprovechar un problema de seguridad en la librería GDI32.DLL -utilizada por programas como el Visor de Imágenes y Fax de Windows-, que afecta a las siguientes plataformas de Windows: 98, Millennium Edition (ME), 2000, XP y Server 2003, según ha informado Microsoft.
La aludida vulnerabilidad puede ser explotada mediante la creación de una imagen WMF (Windows MetaFile), y su posterior distribución a través de cualquier método como, por ejemplo, alojándola en una página web y convenciendo a usuarios de que la visiten. Si la víctima utiliza Internet Explorer, al visitar la web maliciosa puede provocarse la ejecución automática de código arbitrario. Sin embargo, si se utiliza otro navegador diferente, el usuario puede ser advertido de la descarga del archivo.
Hasta que Microsoft publique la actualización que resuelve el citado problema de seguridad es recomendable evitar utilizar el Visor de Imágenes y Fax de Windows para abrir imágenes WMF potencialmente maliciosas.
El informe de hoy está protagonizado por tres troyanos, Nabload.U, Banker.BSX y AKStealer.A, y por un exploit denominado Metafile. 
