Trojan.Win32.Malex.af – Suplantador de medios con capacidades de espionaje

0

Los laboratorios de la prestigiosa firma Kaspersky recibieron hace pocos días una curiosa muestra de malware desde Cuba. Parece ser que el malware en cuestión busca una serie de extensiones poco habituales para expandir su infección. Lejos de tratarse de las típicas ejecutables como .exe, .bat o similares, en este caso al virus infecta extensiones propias de audio y vídeo: .mp3, .mp4, .mpg, .avi, .mkv, .vob, .dat, .rmvb, .flv, .wav

Extensiones de archivos afectadas por Trojan.Win32.Malex.af

Una vez se encuentran esos archivos de medios, el malware los sobreescribe con una pista mp3 genérica que podéis escuchar aquí.

Es una versión reacondicionada localmente, probablemente en el mismo país mencionado arriba, que persigue un público principalmente español o de habla hispana. Está escrito en Delphi y según se extrae de su “timestamp” (firma temporal) fué compilado el día 10 de Septiembre de 2010. Han dejado un mensaje oculto en el código de forma intencionada:

Mensaje oculto en el código de Trojan.Win32.Malex.af

!!!MUNDO DEL SILENCIO REALIZADO!!!
Si no puedes escuchar, no puedes hablar, si no puedes hablar ni escuchar, entonces el mundo quedara en silencio.

Además hay otra funcionalidad oculta de este malware, espía la máquina de su víctima. Roba información del porta-papeles, realiza capturas de pantalla y registra todas las pulsaciones de teclado del ordenador infectado. Podemos entrever, por tanto, que su verdadero objetivo es convertirse en una APT o amenaza persistente en la sombra, mientras el hecho de que sobreescriba los archivos de medios es un anzuelo que nos puede llevar a pensar que ese es su cometido.

Lo peor es que este malware se propaga mediante dispositivos USB, ya que es capaz de descubrir los discos instalados en el sistema y autocopiarse dentro de ellos.

Trojan.Win32.Malex.af se auto-replica en unidades USB conectadas

El sistema de alerta cloud de kaspersky -KSN- fué el primero en alertar de esta amenaza hace algún tiempo y ahora, por fín, ya es detectable mediante el archivo de firmas actualizado: Trojan.Win32.Malex.af.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR