Nuevo Troyano Bredo.jx

troyano que afecta a la seguridad de las plataformas basadas en Windows. Su forma de llegar al sistema es mediante un documento adjunto que llega al correo electrónico como un fichero comprimido tipo ZIP.

Sergio Méndez Galindo
Sergio Méndez Galindo
20 de November · 592 palabras.
x

🕘 Resumen

Bredo.JX es el nuevo troyano que está afectando a sistemas operativos Windows a través de un correo electrónico que parece ser una factura y que contiene un documento adjunto en formato ZIP.

Al abrir el archivo, el virus se instala y descarga otro malware que modifica el registro de Windows y conecta el equipo a sitios remotos alojados en Rusia, comprometiendo seriamente la seguridad.

Aunque este mensaje suele ir automáticamente a la carpeta de correo no deseado o spam, es posible que lo rescatemos de allí pensando que se trata de una factura real.

Para evitar la infección, es importante contar con un programa antivirus actualizado, evitar visitar páginas sospechosas y tener instalados todos los parches de seguridad de nuestro sistema operativo.

También debemos tener cuidado al descargar archivos desde programas compartidos tipo P2P y al acceder a sitios web potencialmente peligrosos. El Bredo.JX es un claro ejemplo de la importancia de la seguridad informática y la necesidad de estar siempre alerta ante posibles amenazas.

Lo dicho: no hay semana que no tengamos noticia de la aparición de un nuevo malware de cualquier tipo.

En esta ocasión el “invitado de honor” se llama Bredo.JX (Trojan.Multi/Bredo.JX@Otros) y es un troyano que afecta a la seguridad de las plataformas basadas en Windows. Su forma de llegar al sistema es mediante un documento adjunto que llega al correo electrónico como un fichero comprimido tipo ZIP.

Este documento que parece ser una factura hace que, al abrirlo, el virus se instale en el sistema operativo y descargue un malware que modifica el registro de Windows. Una vez infectado hace que el equipo se conecte con sitios remotos alojados en Rusia (como esta: http://www.kumatoznik.ru/forum/index.php) que pueden comprometer gravemente la seguridad.

Aunque habitualmente un mensaje de este va automáticamente a la carpeta del correo electrónico no deseado (SPAM), es posible que lo rescatemos creyendo que se trata de una factura de verdad que, por error, ha ido a parar a dicha carpeta, ya sea porque no teníamos a la supuesta compañía entre nuestros contactos habituales o por un exceso de preocupación del gestor de correo.

Sería bastante, en el caso de que sólo tengamos contacto con empresas en castellano, con la apariencia de este falso correo, que está en inglés:

Asunto: Re: End of Aug. Stat. Cuerpo: Good day, as reqeusted I give you inovices issued to you per sept.
Regards
THORA YODER
Adjunto: Invoices_09.07.11_6.zip

Para evitar la infección debemos recurrir a métodos preventivos, por lo que se recomienda tener un programa antivirus actualizado y no visitar páginas sospechosas como las que suele abrir muchas pop-ups o ventanas emergentes. También es recomendable tener instalados todos los parches de seguridad del sistema operativo.

Pero Bredo.JX también puede infectar nuestro equipo mediante la descarga indirecta por otro código malicioso o al descargarse sin el conocimiento del usuario al visitar una página Web infectada. La infección también es posible con la descarga de algún fichero desde algún programa compartido tipo P2P.

El Bredo.JX, al ser un troyano (programa que parece beneficioso o útil pero resulta ser malicioso en algún momento), no cuenta con una rutina propia de autopropagación. Tampoco cuenta con capacidad para ejecutarse automáticamente cada vez que reiniciamos el sistema.

Podemos comprobar si hemos sido infectados por Bredo.JX porque guarda una copia de sí mismo ("%Application Data%csrss.exe") y crea un fichero ("%Application Data% tuser.dat" - Tamaño: 37 bytes, MD5: b191cdf79d0ff4eaeaf32140516383ab, SHA-1: 40cc99a396cb608b19e85f3d4105790196c60240).

Si nuestro sistema operativo es Windows Me, XP o Vista, y sabemos el momento en que el equipo fue infectado, podemos hacer una "Restauración del Sistema" para proceder a su eliminación. Para ello hay que seguir los siguientes pasos:

1. Reiniciar el ordenador en Modo Seguro o Modo a Prueba de Fallos.

2. Localizar todas las copias del virus en el disco duro y eliminar los ficheros:

c:Documents and Settings est userApplication Datacsrss.exe

c:Documents and Settings est userApplication Data tuser.dat

Existe la posibilidad de que no se pueden borrar los ficheros debido a que estén en uso porque el propio virus en ejecución (residente en memoria). En este caso habrá que terminar el proceso de ejecución manualmente y editar el registro para deshacer los cambios que el virus haya hecho.

Hay que tener mucho cuidado al hacer cualquier cambio en el registro ya que borrar o modificar ciertas claves puede inutilizar el sistema.

Compara antivirus y software para acelerar el pc en nuestra web Mejor Antivirus

Comparte tu conocimiento y tus intereses con el mundo.

Publica un artículo →