Alerta: Please wait page is loading… = a Zbot (Por favor espere página está cargando… = troyano Zbot)

Los laboratorios de BitDefender han tropezado con un sitio Web que presenta peligros extremos para los usuarios, infectando sistemas con el troyano Zbot.

Una vez que el usuario accede, el sitio abre una página HTML aparentemente inocente (Trojan.JS.QOS). Sin embargo, el simple contenido de “Please wait page is loading… (Por favor espere página está cargando…) esconde un complicado JavaScript que redirige a los usuarios a otro malicioso JavaScript.

Página infectada redirige al usuario hacia otra ubicación de Internet comprometida

Este segundo archivo JavaScript (Trojan.JS.Redirector.YF) se llama js.js y se almacena en una carpeta con un nombre generado aleatoriamente. Al parecer este archivo JS malintencionado ha sido plantado en una multitud de servidores, lo contrario de sitios host limpios, probablemente como resultado del robo de credenciales FTP. Esta secuencia de comandos tiene el único propósito de redirigir al usuario a la página del exploit, la parada final de este viaje de redirección.

La segunda página HTML (Trojan.HTML.Downloader.Agent.NBF) a la que el usuario finalmente llega, incrusta un applet de Java (Exploit.Java.CVE-2010-0840.P) – un frente para una vulnerabilidad conocida (CVE-2010-0840) que ahora se utiliza para descargar e instalar una variante del troyano Zbot (Trojan.Zbot.HTQ) en los sistemas comprometidos.

ZBot a.k.a Zeus, ZeusBot o WSNPoem, es un troyano banquero amañado con un backdoor (puerta trasera) y las capacidades de servidor, conocidas para recoger información relacionada con el Banco de las víctimas, datos de inicio de sesión, historia de los sitios Web visitados y otros datos confidenciales. Algunas versiones pueden incluso tomar imágenes (screenshots) del escritorio de la máquina comprometida.

Los usuarios no protegidos por un producto de Bitdefender pueden utilizar la herramienta gratuita de eliminación del troyano Zbot que analiza los equipos de los usuarios, detectando y eliminando más variantes de Zbot activas en el mundo real (in the wild). Está disponible para descargar y usar de forma gratuita descargándola desde la sección de herramientas de eliminación de Malwarecity.com o desde este enlace.

Y por favor no haga clic en cualquier sitio que se le presente. Lo más importante es, si un sitio web lo re-direcciona hacia otro sitio web, que cierre de una vez su navegador. Por último, pero no menos importante, es mantener el software de  Java (Java Runtime Environment) actualizado en todo momento.

Traducción: Velcro

Fuente: malwarecity.com

 

Anuncios