El primer malware de las Olimpíadas 2008

En este caso se trata de una investigación realizada por la gente de McAfee Avert Labs quienes el día de ayer reportaban haber recibido el primero Rootkit / Keylogger de las olimpiadas 2008.

Al principio parecía una simple presentación en flash, por lo menos a juzgar por el icono.
Al ejecutar el archivo, llamado RaceForTibet.EXE, se visualiza una historieta con un gimnasta chino muy experto que realiza un cierto ejercicio asombroso enrollado en un “vaulting Bbox” para el que el jurado le otorgó un 0 , al mismo tiempo que le daba una descarga eléctrica!

Luego, mientras se repite el ejercicio del gimnasta, visualiza unas cuantas fotografías bastante brutales de acontecimientos verídicos, ocurridos entre China y el Tíbet, como una visión retrospectiva. Como investigadores de malwares, no podíamos evitar mirar más a fondo para ver si había cualquier cosa más que una crítica política sobre los acontecimientos que ocurrían en Tíbet y China.

A continuación decidimos utilizar el “McAfee Rootkit detective” para saber si había procesos ocultos y demás y resultó que algunos archivos habían sido instalados sigilosamente en el PC! En ellos tenemos el rootkit del Tibetano en cuestión:

Como puede verse, unos cuantos archivos ahora están escondidos en el sistema y se ocultan totalmente de la vista de cualquier “usuario-normal”.

El archivo original (RaceforTibet.EXE) crea una copia en archivo llamado “dopydwi.sys” en la carpeta de sistema (Windows/System32 en XP)

Dicho rootkit es además un keylogger que se presenta como mensaje político.

El archivo del DOPYDWI.DLL creado en el sistema va a ser utilizado para hacer keylogging real. Con ello crea un fichero diario que es ocultado y guardado en el sistema (dopydwi.log) almacenando toda la información recopilada en la máquina infectada.

El IP remoto a donde se envían estos datos está ubicado en China (bastante chistoso al aparentar ser propaganda política anti-china…).

¿Van a ver los Juegos Olímpicos? Si es así que no sea en los ejecutables flash que llegan por correo electrónico.

Visto en McAfee Avert Labs

Related Posts