Propagación de mail con troyano bancario a través de gestor de arranque NTLDR malicioso

Brasil es un país en el que los usuarios de internet son atacados casi exclusivamente por los delincuentes cibernéticos que crean troyanos bancarios. Asimismo, es un país donde la mayoría de los usuarios aún ejecutan Windows XP en sus computadoras.

Este último hecho ha sido considerado y aprovechado por los criminales, dado que planearon una manera de intercambiar el gestor de arranque ntldr legítimo — encontrado en WindowsXP, Windows NT y Windows Server 2003 — por un gestor de arranque malicioso.

La infección comienza al descargar un troyano, el cual se ofrece a las víctimas a través de un enlace en correo spam. La pieza de malware se descarga en dos archivos adicionales, y realiza el cambio antes mencionado. Así, el nuevo gestor de arranque puede llamar a esos archivos nuevos para hacer su “magia”. Por ejemplo: Remover archivos pertenecientes a una variedad de soluciones antivirus y un plug-in de seguridad usado por muchos bancos brasileños.

“Una vez que la infección está completada, el troyano fuerza al sistema a reiniciar para que los cambios ocurran”, explica un investigador en Kaspersky Lab. Después el gestor de arranque malicioso crea la ilusión de que la tardanza al arrancar es debido a la herramienta de eliminación de software malicioso de Microsoft, la cual encuentra archivos maliciosos y los remueve.

Fuente Help Net Security

Al final, el gestor de arranque legítimo se activa de nuevo, mientras el malicioso se borra a sí mismo sin dejar rastro. Detrás queda un troyano bancario listo para robar información y un antivirus desarmado para que no pueda detectar ni a éste ni a otros malwares.

 Fuente

Comentario:

Si aparece un mensaje con comentario en portugués, es muy probable que esté rondando uno de los muchos malwares bancarios “SPY BANKER” o similar, revisar a fondo el ordenador, especialmente si se ha recibido algun mail sospechoso…

saludos

ms, 11-12-2011