DETALLES DEL KENZERO : el malware que pide dinero para eliminar informacion personal que publica en una web

Este nuevo troyano que ya está circulando en Japón según ya indicamos, está empezando a afectar a usuarios de Europa.
 

Actualmente existe una variante que podría reincidir, de forma que una vez que el usuario haya sido víctima de una extorsión, sea de nuevo extorsionado con otra notificación de Romancing Inc sobre “violación de los derechos de autor”.
Al malware se le ha pasado a denominar Kenzero, con estas características:
Nombre: Kenzero

Riesgo: Alto. El ataque podría plantear una grave amenaza de seguridad. Se deben tomar medidas inmediatas para detener cualquier acción maliciosa que tiene programada y puede causar daños e impedir que otros mayores ocurran.

Descripción: El Kenzero monitoriza la actividad a través de HTTP. Puede robar información del ordenador infectado y enviarla a un sitio web donde puede ser leída públicamente.

El archivo malicioso normalmente llega como un archivo de instalación de juegos en el ordenador en cuestión.

Cuando el troyano es ejecutado, captura la pantalla del escritorio y la guarda en una carpeta que crea con nombre aleatorio seguido del de NOTAS, colgando de la carpeta de sistema, con un nombre de “aleatorio”.BMP

A continuación, el troyano convierte el archivo “aleatorio”.Bmp en un archivo JPEG y lo guarda de la misma manera que el anterior, pero .JPG

A continuación envía la captura de pantalla al siguiente sitio FTP:

[Ftp://] ftp96.heteml.jp/web/img/us[eliminado]
Se conecta a las siguientes direcciones URL para obtener la dirección IP global y el nombre de host de la máquina infectada:

* [Http:// cplayer.dreamhosters.com] /[eliminado]
* [Http://] [checkip.dyndns.org eliminado]
A continuación, muestra un formulario y pide al usuario que rellene los siguientes datos:

* Nombre
* Apellido
* Dirección de correo electrónico
* Contraseña
* Nombre en el juego
* Nombre de la familia en el juego
* Sexo
* Fecha de nacimiento
* Nombre de la empresa
* Número de teléfono
* Código postal
* Correo empresa

También captura la siguiente información del equipo afectado:

* Nombre de equipo
* Nombre de dominio
* Tipo de sistema operativo
* Day/date
* Clipboard

A continuación, el troyano envía la información robada a la siguiente URL:
[Http://p3p.jp/en-[eliminado] /
Cuando el troyano está activo, muestra la dirección URL siguiente con la información recopilada mediante el navegador por defecto:
[Http://p3p.jp/entry/user]/[eliminado]
Como sea que es de fácil difusión, se avisa para que se obre en consecuencia.
De momento lo controlan muy pocos antivirus:
Análisis del archivo setup.exe recibido el 2010.04.02 09:45:36 (UTC)
Estado actual: análisis terminado
Resultado: 7/42 (16.67%)

File size: 13353984 bytes
MD5   : 78365271582f036ab0fe36b1445c5ee5
SHA1  : c87aca3d3f3f7d91c25f958bdf91631280e8c43d

Con nuestro ELIMD5.EXE, ya puede detectarse y eliminarse empleando uno de los dos hashes indicados al final del anterior informe, por ejemplo: 78365271582f036ab0fe36b1445c5ee5
Si detectan alguno, enviarnoslo para analizar y controlar en la siguiente verion de nuestras utilidades, de lo cual informaremos
saludos

ms, 20-4-2010