15/07/2008 - PandaLabs ha detectado la circulación de varios correos electrónicos que están distribuyendo el troyano Agent.JEN.
Estos correos electrónicos simulan proceder de la compañía de mensajería UPS y utilizan asuntos como “UPS packet N3621583925”. En el cuerpo del mensaje se avisa al usuario de que no ha sido posible enviar un supuesto paquete y se le invita a imprimir una copia de la factura adjunta.
Esa factura está incluida en un fichero adjunto en formato “.zip” que incluye un archivo ejecutable con la apariencia de un documento de Microsoft Word con nombres como “UPS_invoice”. Si el usuario ejecuta dicho archivo, estará introduciendo una copia del troyano en su equipo.
Este código malicioso se copia en el sistema, sustituyendo al fichero Userinit.exe, del sistema operativo Windows. Este fichero es el que se encarga de ejecutar el navegador Internet Explorer, la interfaz del sistema, y otros procesos esenciales. Para conseguir que el ordenador siga funcionando correctamente y que el usuario no sea consciente de la infección, el troyano copia el verdadero fichero en otra ubicación con el nombre userini.exe.
“Este afán por pasar desapercibido está en consonancia con la actual dinámica del malware, en la que los ciberdelincuentes ya nos buscan fama o notoriedad, sino obtener beneficios económicos, intentando no ser descubiertos”, explica Luis Corrons, director técnico de PandaLabs.
Agent.JEN, además, efectúa una conexión a un dominio ruso (que ya ha sido usada en varias ocasiones anteriores por troyanos bancarios) desde el cual redirigirá la petición a un dominio alemán para descargarse un rootkit, y un adware, detectados por PandaLabs como Rootkit/Agent.JEP y Adware/AntivirusXP2008 respectivamente. Esto aumenta aún más el riesgo de la infección.
“Habíamos visto utilizar fotos eróticas, tarjetas navideñas o románticas, supuestos trailers, etc. como gancho para hacer que los usuarios ejecutasen archivos infectados, sin embargo, no es muy usual ver ganchos como éste”, comenta Luis Corrons, que añade: “Con ellos, los ciberdelincuentes buscan utilizar cebos que aún no resultan sospechosos para seguir propagando sus creaciones”.
Estos correos electrónicos simulan proceder de la compañía de mensajería UPS y utilizan asuntos como “UPS packet N3621583925”. 
