El virus ZBot se propaga como archivo PDF

Más de 2.200 reportes sobre una nueva amenaza de seguridad virtual han llegado hasta los analistas de la firma Websense. La infección enviada con un troyano es trasmitida a través del correo electrónico que invita al usuario a descargar y abrir un archivo en formato PDF.

Zbot (conocido también como Zeus) es un troyano que roba información y reúne los datos confidenciales de cada computadora infectada. El principal vector para propagarse es una campaña de spam en la que se engaña a los receptores para que abran archivos adjuntos infectados en su computadora.

Esta nueva variante utiliza un archivo PDF malicioso que contiene la amenaza como un archivo integrado. Cuando los receptores reciben el documento, les pide guardar un archivo llamado “Royal_Mail_Delivery_Notice.pdf”. El usuario asume erróneamente que el archivo es sólo un PDF y, por tanto, es seguro guardarlo en la computadora local. Sin embargo, el archivo es en realidad un ejecutable de Windows. El PDF malicioso inicia el archivo que introdujo, tomando control de la computadora.

La amenaza crea un subdirectorio en la carpeta SYSTEM32 con el nombre «lowsec» y agrega los archivos «local.ds» y «user.ds». También se copia a sí mismo en SYSTEM32 como «sdra64.exe» y modifica la entrada del registro «%SOFTWARE%MicrosoftWindows NTCurrentVersionWinlogonUserinit» para ejecutarse durante el arranque del sistema. Esta variante de Zbot se conecta a un servidor remoto malicioso en China.

Ingenieros y especialistas de la compañía de seguridad subieron en su sitio web recomendaciones para evitar la infección. Además, invita a los usuarios a mantener actualizada sus plataformas de seguridad.