Trojan.Dropper.UAJ modifica la librería comres.dll obligando a todas las aplicaciones que la necesitan para funcionar a ejecutar también esta amenaza
Buenos Aires, 23 de febrero de 2012 – Bitdefender®, galardonado proveedor de innovadoras soluciones de seguridad para Internet, ha localizado un nuevo troyano que aprovecha una vulnerabilidad en Windows para permanecer oculto y activo en los ordenadores infectados.
En concreto, este troyano, denominado Trojan.Dropper.UAJ modifica una librería de código vital (comres.dll) obligando a todas las aplicaciones que necesitan comres.dll a ejecutar también esta amenaza.
Lo novedoso de este troyano es el hecho de que toma el archivo comres.dll original, lo modifica y luego lo guarda en su directorio original. La modificación de la DLL incluye código que puede agregar o eliminar usuarios, cambiar contraseñas, añadir o eliminar los privilegios de usuario, y ejecutar archivos.
Con esta modificación, los ciberdelincuentes consiguen que la parte maliciosa del archivo se ejecute al mismo tiempo y siempre que se ponga en marcha la DLL original.
La táctica usada hasta la aparición de este troyano tan innovador era más simple: el malware se copiaba en el mismo lugar y con el mismo nombre que la DLL original, sustituyéndola, pero de esta manera eran más fáciles de detectar. Con la modificación de la DLL original y su posterior restitución a su lugar de origen, este troyano puede ocultarse mejor.
“Los ciberdelincuentes eligieron el archivo comres.dll, porque es ampliamente utilizado por la mayoría de los navegadores de Internet, y en algunas aplicaciones o herramientas de comunicación en red, lo que lo hace muy popular y, básicamente, indispensable para el sistema operativo”, explica Catalin Cosoi, Chief Security Researcher de Bitdefender.
Trojan.Dropper.UAJ es capaz de ejecutarse en Windows 7, Windows Vista, Windows, Windows 2003, Windows 2000 y Windows NT en entornos de 32 y 64 bits.
