Virtumonde es un programa espía, también llamado spyware, que crea una DLL (Librería de Enlace Dinámico). Esta DLL registra las pulsaciones del teclado y se conecta a una determinada página web para obtener información diversa y mostrar mensajes publicitarios periódicamente. Virtumonde asocia dicha DLL al proceso de sistema explorer.exe, con lo que consigue colocarla residente en memoria. La DLL comprueba continuamente que nombrevirus esté en ejecución, procediendo a lanzarlo de nuevo en caso contrario. Además, Virtumonde se registra como LSP (Layered Service Provider) para recoger datos del usuario sobre su conexión a Internet, como por ejemplo, hábitos de uso de Internet, páginas visitadas, datos de la conexión telefónica, inventario de las aplicaciones instaladas en el equipo, etc. El spyware puede ser instalado en el sistema por numerosas vías, a veces sin que medie consentimiento expreso del usuario, así como con su conocimiento o falta del mismo respecto a la recopilación y/o uso de los datos ya mencionados. El spyware puede ser instalado con el consentimiento del usuario y su plena conciencia, pero en ocasiones no es así. Lo mismo ocurre con el conocimiento de la recogida de datos y la forma en que son posteriormente utilizados. Nota:
LSP (Layered Service Provider) es una función de Windows que permite especificar una serie de programas para procesar todo el tráfico TCP/IP que tiene lugar entre Internet y las aplicaciones que estén accediendo a Internet (como el navegador web, el cliente de correo electrónico, etc.). Por ejemplo, podría especificarse un programa de seguridad informática, que analice el tráfico en busca de virus u otras amenazas antes de cederlo a la aplicación destino del tráfico. Sin embargo, esta misma estructura también puede ser utilizada por programas adware y spyware para interceptar la comunicación a través de Internet, con el agravante de que si se eliminan sin tomar precauciones, la conexión a Internet dejará de funcionar indefinidamente. |