Falsos correos electrónicos de UPS distribuyen el troyano Agent.JEN

PandaLabs ha detectado la circulación de varios correos electrónicos que están distribuyendo el troyano Agent.JEN.

Estos correos electrónicos simulan proceder de la compañía de mensajería UPS y utilizan asuntos como “UPS packet N3621583925”. En el cuerpo del mensaje se avisa al usuario de que no ha sido posible enviar un supuesto paquete y se le invita a imprimir una copia de la factura adjunta.

Esa factura está incluida en un fichero adjunto en formato “.zip” que incluye un archivo ejecutable con la apariencia de un documento de Microsoft Word con nombres como “UPS_invoice”. Si el usuario ejecuta dicho archivo, estará introduciendo una copia del troyano en su equipo.

Este código malicioso se copia en el sistema, sustituyendo al fichero Userinit.exe, del sistema operativo Windows. Este fichero es el que se encarga de ejecutar el navegador Internet Explorer, la interfaz del sistema, y otros procesos esenciales. Para conseguir que el ordenador siga funcionando correctamente y que el usuario no sea consciente de la infección, el troyano copia el verdadero fichero en otra ubicación con el nombre userini.exe.

“Este afán por pasar desapercibido está en consonancia con la actual dinámica del malware, en la que los ciberdelincuentes ya nos buscan fama o notoriedad, sino obtener beneficios económicos, intentando no ser descubiertos”, explica Luis Corrons, director técnico de PandaLabs.

Agent.JEN, además, efectúa una conexión a un dominio ruso (que ya ha sido usada en varias ocasiones anteriores por troyanos bancarios) desde el cual redirigirá la petición a un dominio alemán para descargarse un rootkit, y un adware, detectados por PandaLabs como Rootkit/Agent.JEP y Adware/AntivirusXP2008 respectivamente. Esto aumenta aún más el riesgo de la infección.

“Habíamos visto utilizar fotos eróticas, tarjetas navideñas o románticas, supuestos trailers, etc. como gancho para hacer que los usuarios ejecutasen archivos infectados, sin embargo, no es muy usual ver ganchos como éste”, comenta Luis Corrons, que añade: “Con ellos, los ciberdelincuentes buscan utilizar cebos que aún no resultan sospechosos para seguir propagando sus creaciones”.

Puede obtener más información en el blog de PandaLabs.

• Feed RSS para notas de prensa

  http://www.pandasecurity.com/virus_info/exports/rss/pandaes.xml

• Las fotos de Panda en Flickr

• Añade esta noticia a del.icio.us

• Añade esta noticia a Digg It!

• Añade esta noticia a MyWeb

Desde 1990, PandaLabs trabaja en la detección y eliminación de nuevas amenazas de seguridad, con el objetivo de analizar las nuevas amenazas lo antes posible para mantener seguros a nuestros clientes. Varios equipos especializados en cada tipo de malware (virus, gusanos, troyanos, spyware, phishing, spam, etc.) trabajan 24 horas los 7 días de la semana, dando respuesta a nuestros clientes. Se apoyan en las Tecnologías TruPreventTM, un sistema global de alerta temprana. Está formado por sensores estratégicamente distribuidos, que neutralizan nuevas amenazas y las envían a PandaLabs para su análisis en profundidad. Según Av.Test.org, actualmente, PandaLabs es el laboratorio más rápido de la industria en proporcionar actualizaciones completas a los usuarios. Más información en el blog de PandaLabs.