Nuevo troyano Bredo.JX

Lo dicho: no hay semana que no tengamos noticia de la aparición de un nuevo malware de cualquier tipo.

En esta ocasión el "invitado de honor" se llama Bredo.JX (Trojan.Multi/Bredo.JX@Otros) y es un troyano que afecta a la seguridad de las plataformas basadas en Windows. Su forma de llegar al sistema es mediante un documento adjunto que llega al correo electrónico como un fichero comprimido tipo ZIP.

Este documento, que parece ser una factura, hace que, al abrirlo, el virus se instale en el sistema operativo y descargue un malware que modifica el registro de Windows. Una vez infectado, el equipo se conecta con sitios remotos alojados en Rusia (por ejemplo: http://www.kumatoznik.ru/forum/index.php), lo que puede comprometer gravemente la seguridad.

Aunque habitualmente un mensaje de este tipo va automáticamente a la carpeta del correo electrónico no deseado (SPAM), es posible que lo rescatemos creyendo que se trata de una factura real que, por error, ha ido a parar a dicha carpeta, ya sea porque no teníamos a la supuesta compañía entre nuestros contactos habituales o por un exceso de celo del gestor de correo.

Sería bastante sospechoso, en el caso de que sólo tengamos contacto con empresas en castellano, la apariencia de este falso correo, que está en inglés:

Asunto: Re: Fin de las estadísticas de agosto
Cuerpo: Buen día, según lo solicitado le adjunto las facturas emitidas para septiembre.
Saludos
THORA YODER
Adjunto: Invoices_09.07.11_6.zip

Para evitar la infección debemos recurrir a métodos preventivos, por lo que se recomienda tener un programa antivirus actualizado y no visitar páginas sospechosas, como las que suelen abrir muchas pop-ups o ventanas emergentes. También es recomendable tener instalados todos los parches de seguridad del sistema operativo.

Pero Bredo.JX también puede infectar nuestro equipo mediante la descarga indirecta por otro código malicioso o al descargarse sin el conocimiento del usuario al visitar una página web infectada. La infección también es posible al descargar algún fichero desde un programa de intercambio tipo P2P.

El Bredo.JX, al ser un troyano (programa que parece beneficioso o útil pero resulta ser malicioso en algún momento), no cuenta con una rutina propia de autopropagación. Tampoco cuenta con capacidad para ejecutarse automáticamente cada vez que reiniciamos el sistema.

Podemos comprobar si hemos sido infectados por Bredo.JX porque guarda una copia de sí mismo ("%Application Data%\csrss.exe") y crea un fichero ("%Application Data%\ntuser.dat" - Tamaño: 37 bytes, MD5: b191cdf79d0ff4eaeaf32140516383ab, SHA-1: 40cc99a396cb608b19e85f3d4105790196c60240).

Si nuestro sistema operativo es Windows Me, XP o Vista, y sabemos el momento en que el equipo fue infectado, podemos hacer una "Restauración del Sistema" para proceder a su eliminación. Para ello hay que seguir los siguientes pasos:

1. Reiniciar el ordenador en Modo seguro o Modo a prueba de fallos.
2. Localizar todas las copias del virus en el disco duro y eliminar los ficheros indicados.

Archivos a localizar y eliminar (ejemplo de rutas en Windows):

c:\Documents and Settings\test user\Application Data\csrss.exe

c:\Documents and Settings\test user\Application Data\ntuser.dat

Existe la posibilidad de que no se puedan borrar los ficheros debido a que estén en uso porque el propio virus está residente en memoria. En este caso habrá que terminar el proceso de ejecución manualmente y editar el registro para deshacer los cambios que el virus haya hecho.

Hay que tener mucho cuidado al hacer cualquier cambio en el registro, ya que borrar o modificar ciertas claves puede inutilizar el sistema.

Compara antivirus (http://www.mejor-antivirus.es/comparativa-antivirus.html) y software para acelerar el pc (http://www.mejor-antivirus.es/mantenimiento-pc/acelerar-el-pc.html) en nuestra web Mejor Antivirus (http://www.mejor-antivirus.es)