• Tweet

Una variante del troyano Alureon, que está diseñada para extraer la ubicación de las copias de seguridad de los centros C&C desde imágenes difundidas a través de la Web, fue descubierta por Scott Molenkamp, un investigador de Microsoft.

La familia de troyanos Alureon es bien conocida por su forma de robo de datos. El troyano está diseñado para obtener información confidencial (nombres de usuario, contraseñas, datos de tarjetas de crédito), transmitir datos maliciosos hacia la computadora infectada y tiene la capacidad de modificar la configuración del DNS en aquellos equipos que estaban programados para hacerlo

Esta cepa en particular, a menudo descargada por la familia de programas FakeSysdef "desfragmentador falso", ha comenzado recientemente a descargar un componente adicional después de que consiguiera introducirse en un sistema.

Tras haber descifrado y analizado este componente ("com32"), el investigador ha descubierto que añade criptografía y funcionalidad de procesamiento de JPG al troyano. Además, el archivo de configuración tiene una serie de URLs alojadas en LiveJournal y WordPress.

"El contenido de cada página, que parecía ser benigna, contiene numerosas y variadas imagenes JPG alojadas en 'imageshack.us', un proveedor de imágenes libres", señala. Sin embargo, un vistazo al código para la recuperación de las páginas reveló que los archivos específicos JPG serían recuperados por el troyano junto con una cadena de 61 caracteres ASCII, que se parece mucho a una contraseña.

"Después de investigaciones adicionales, fui capaz de determinar que, incrustado en cada uno de los archivos JPG, hay un archivo de configuración completo que usa esteganografía", reveló. "Una de las secciones críticas del archivo de configuración contiene la lista de servidores de mando y control. El propósito de los datos alojados fue revelado públicamente, el cual es proporcionar una capa de redundancia y de defensa contra los dominios existentes que podrían estar disponibles".