Un nuevo troyano, Win32/Delf.QCZ, se distribuye masivamente por el chat de Facebook

Las infecciones causadas por este troyano están creciendo en países de Europa Central y del Este, así como por la región Asia-Pacífico y el Medio Oriente

Se advierte de la distribución e infección masiva del troyano Win32/Delf.QCZ, que consigue alcanzar a sus víctimas a través de la aplicación de chat de la popular red social Facebook. Este ejemplar de troyano está diseñado para desactivar la protección antivirus de los equipos infectados que no esté actualizados.

El troyano Win32/Delf.QCZ muestra un primer mensaje amistoso a los usuarios de Facebook, “Hi how are you”, que viene de uno de los amigos que tengamos añadidos a nuestro perfil, pero en realidad es un bot que es capaz de establecer este tipo de comunicación de forma directa, incluso refiriéndose al usuario en la conversación. Adicionalmente, publica en el chat del usuario un link a un vídeo malicioso, incitándole a verlo. En el momento en que el usuario hace clic en el link, comienza la supuesta descarga de un link para instalar un reproductor de Flash, que realmente contiene el malware.

De acuerdo a las estadísticas registradas por ThreatSense.Net, el sistema de alerta temprana y online que monitoriza en tiempo real infecciones globales, este troyano está registrando los mayores ratios de infección en los países de Europa Central y del Este, como Ucrania, Rusia, Eslovaquia, República Checa y Serbia/Montenegro, y comienza extenderse por otros países del Medio Oriente. El ratio de infecciones en países como Israel se ha situado en el top 8 y también se comienzan a registrar usuarios afectados en la región de Asia-Pacífico, como Tailandia y Malasia.

En España no se han registrado, por el momento, infecciones significantes, pero viendo la evolución del troyano pueden comenzar a contabilizarse en cualquier momento.

“¿Cómo podemos protegernos de este troyano? Primero de todo, está claro que es un bot el que realiza las comunicaciones mediante el chat de Facebook. Para usuarios que no utilizan la popular red social en inglés, y dado que el bot lo hace en este idioma, la primera señal de alarma es que un amigo nuestro nos envíe un mensaje en este lenguaje. Segundo, el link al vídeo del sitio que imita a YouTube también es sospechoso”,  “Contar con un buen antivirus actualizado es muy importante en este caso, ya que si el usuario hace clic en el vídeo, comprometerá la seguridad del PC. El troyano es capaz de cambiar parámetros del sistema, modificar el archivo host, y utilizarlo para actividades criminales y distribuir otro tipo de malware desde el ordenador infectado”.

Los desarrollares de malware basan, cada vez más, sus estrategias en la ingeniería social y utilizan las redes sociales como vectores de ataque. El ejemplo quizá más conocido es el del troyano Koobface, que tras distribuirse por Facebook, fue capaz de crear una red de ordenadores zombies, una botnet, que podía ser controlada de forma remota por el atacante. Fuente
El control actual de dicho malware puede verse en el analisis de VirusTotal al respecto:

File name: Flash-Player.exe
Submission date: 2011-08-20 16:04:15 (UTC)
Current status: finished
Result: 36 /43 (83.7%)
VT Community

malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.08.20.01 2011.08.20 Win-Trojan/Vkont.1170432
AntiVir 7.11.13.154 2011.08.19 TR/Crypt.ULPM.Gen
Antiy-AVL 2.0.3.7 2011.08.20 Trojan/Win32.VKont.gen
Avast 4.8.1351.0 2011.08.20 Win32:Delf-QBC [Trj]
Avast5 5.0.677.0 2011.08.20 Win32:Delf-QBC [Trj]
AVG 10.0.0.1190 2011.08.20 SHeur3.CKAJ
BitDefender 7.2 2011.08.20 Trojan.Generic.KD.291796
CAT-QuickHeal 11.00 2011.08.20 TrojanPSW.VKont.bng
ClamAV 0.97.0.0 2011.08.20 –
Commtouch 5.3.2.6 2011.08.20 W32/Sefnit.G.gen!Eldorado
Comodo 9803 2011.08.19 Heur.Suspicious
DrWeb 5.0.2.03300 2011.08.20 Trojan.PWS.Vkontakte.392
Emsisoft 5.1.0.10 2011.08.20 Trojan.SuspectCRC!IK
eSafe 7.0.17.0 2011.08.18 –
eTrust-Vet 36.1.8511 2011.08.19 –
F-Prot 4.6.2.117 2011.08.20 W32/Sefnit.G.gen!Eldorado
F-Secure 9.0.16440.0 2011.08.20 Trojan.Generic.KD.291796
Fortinet 4.2.257.0 2011.08.20 W32/VKont.BNG!tr.pws
GData 22 2011.08.20 Trojan.Generic.KD.291796
Ikarus T3.1.1.107.0 2011.08.20 Trojan.SuspectCRC
Jiangmin 13.0.900 2011.08.20 Trojan/PSW.VKont.abf
K7AntiVirus 9.110.5037 2011.08.20 Password-Stealer
Kaspersky 9.0.0.837 2011.08.20 Trojan-PSW.Win32.VKont.bng
McAfee 5.400.0.1158 2011.08.19 Artemis!547E351F6480
McAfee-GW-Edition 2010.1D 2011.08.20 Artemis!547E351F6480
Microsoft 1.7604 2011.08.20 Backdoor:Win32/Bafruz.B
NOD32 6396 2011.08.20 Win32/Delf.QCZ
Norman 6.07.10 2011.08.20 W32/Delf.FHTQ
nProtect 2011-08-20.01 2011.08.20 Trojan/W32.Agent.1170432.J
Panda 10.0.3.5 2011.08.20 Generic Trojan
PCTools 8.0.0.5 2011.08.20 Trojan.Gen
Prevx 3.0 2011.08.20 –
Rising 23.71.03.03 2011.08.18 –
Sophos 4.68.0 2011.08.20 Mal/EncPk-AAG
SUPERAntiSpyware 4.40.0.1006 2011.08.20 –
Symantec 20111.2.0.82 2011.08.20 Trojan.Gen
TheHacker 6.7.0.1.282 2011.08.20 Trojan/PSW.VKont.bng
TrendMicro 9.500.0.1008 2011.08.17 TROJ_SPNR.07GK11
TrendMicro-HouseCall 9.500.0.1008 2011.08.20 TROJ_SPNR.07GK11
VBA32 3.12.16.4 2011.08.19 TrojanPSW.VKont.bng
VIPRE 10221 2011.08.20 FraudTool.Win32.SecurityTool (v)
ViRobot 2011.8.20.4631 2011.08.20 –
VirusBuster 14.0.177.0 2011.08.19 Trojan.Delf!ocehEHQkhH4

Additional informationShow all
MD5   : 547e351f6480d31dc42704dc6ac1cdd1
SHA1  : 1f325e7c62aef9707449b41087f5dc7848b46bdf

File size : 1170432 bytes

saludos

ms, 22-8-2011