La caída de Gmail provocó la descarga de malware

El tiempo de inactividad que experimentó Gmail ha provocado malestar y frustración entre los usuarios. En medio de la conmoción provocada por la interrupción del servicio, que duró solo unas horas, los ciber-delincuentes aprovecharon para intentar distribuir archivos maliciosos a usuarios desconocidos.

Durante el tiempo de inactividad, las búsquedas de la cadena “gmail down” se entregaron a la página Google Group también denominada Gmail down como el primer resultado. El investigador Rik Fergurson de Trend Micro, informa de que dicha página estaba distribuyendo un banner con imágenes relacionadas con pornografía, que también dirigía a una web pornográfica. Pero lo más peligroso es que ese link en la página web mencionada conducía a archivos maliciosos.

El link “Really young good looking teenager-547b4.html” redirecciona a dos URLs diferentes. La primera, hxxp:// {BLOCKED}worldx.com/software/f352d5ac52/10410/1/Setup.exe, incita a la descarga de un archivo detectado como TROJ_PROXY.AEI. Por su parte, Loucif Kharouni, también investigador de Trend Micro, avisa de que TROJ_PROXY.AEI descarga dos archivos: un fichero BAT y otro DLL. El archivo BAT es utilizado para cargar a su vez el DLL, que modifica las entradas de registro relacionadas con las configuraciones del servidor proxy. Esto provoca que los resultados de las búsquedas de los usuarios sean redireccionados a sitios remotos relacionados, la mayoría de ellos, con páginas de anuncios.

La segunda URL, hxxp:// {BLOCKED}cktube.com/new/n/Exclusive+Free+porno/3913744, conduce a la descarga de un archivo malicioso detectado como TROJ_AGENT.FAKZ. Los investigadores de Trend Micro ya se encuentran analizando este fichero para determinar sus rutinas.

Por otro lado, el link “The Dark Knight torrent.zip” pemite la descarga del archivo BAT main_movie_torrent.bat. Dicho archivo modifica las propiedades de los siguientes ficheros:

• c:\autoexec.bat
• c:\boot.ini
• c:\ntldr
• c:\windows\win.ini