Los autores de este código malicioso han publicado un sitio de Internet (Google-mp3search.com) en el que anuncian la existencia de una herramienta llamada Google MP3 Search Tool, que teóricamente sería capaz de buscar y descargar archivos MP3 desde múltiples fuentes como ningún otro producto de descarga e intercambio de archivos podría hacerlo. En ese sitio, que luce en forma similar a los de la empresa Google, se brinda un enlace para descargar la susodicha herramienta, la cual promete un 99.9 % de éxito en la búsqueda de MP3 legítimos y libres de virus.
El sitio es falso y no pertenece a Google, y la herramienta cuya descarga brindan no es más que un troyano que al ser instalado por el usuario no mostrará ninguna ventana mientras que comienza a recopilar contraseñas y datos de acceso alojados en el disco rígido del usuario, almacenándolos en un archivo c:pass.bin. Este archivo, más una impresión de pantalla del equipo del usuario son enviados a una dirección de correo electrónico del supuesto autor del troyano.
El troyano es detectado por NOD32, el producto antivirus de Eset, con el nombre Win32/PSW.LdPinch.NBL y según nuestros chequeos, NOD32 es uno de los pocos antivirus capaz de detectarlos hasta el momento (20.00 hs GMT) en forma completa.
Para atraer la mayor atención posible, el autor del troyano ha publicado el sitio en cuestión en varios reconocidos foros y sitios relacionados con intercambio de archivos, como avipreview.com, icq.com, emuleforum.net, entre otros.
La utilización del nombre de Google para darle credibilidad a la“herramienta”ha sido una técnica muy ingeniosa para que los usuarios desprevenidos confiaran en el archivo, y lo descargaran y ejecutaran.
Se han conocido reportes de usuarios infectados pero no como para hablar de una epidemia, pero es importante que los usuarios estén prevenidos y no descarguen este archivo del sitio antes mencionado aunque se hable a favor de él en foros especializados.
Es posible corroborar que la página para descargar el troyano sigue activa -hasta el momento de edición de este artículo-, aunque el servidor a través del cuál envía los datos recolectados no parece estarlo. Sin embargo, dado que la página principal sigue en línea, es posible que el autor del troyano lo modifique para utilizar otro método para reportar los datos recolectados de los equipos infectados. Por esto, los usuarios deben estar alerta para evitar este engaño, y otros de índole similar.
La utilización de nombres de compañías conocidas para llamar la atención de los usuarios es una técnica ampliamente utilizada por los creadores de códigos maliciosos, a fin de lograr que sus creaciones se ejecutan y distribuyan. Es por ello que los usuarios no deben siempre confiar en los mensajes que reciban por correo electrónico o encuentren en foros hablando de herramientas de este tipo, dado que pueden tratarse de códigos maliciosos.
{adr}Contar con un antivirus actualizado es muy importante para evitar ser víctima de este tipo de engaños, además de corroborar fehacientemente que la herramienta existe en el sitio real del supuesto fabricante, en este caso, Google.
Una descripción del troyano puede ser encontrada en el sitio EnciclopediaVirus.com. Vale la pena recordar que los usuarios de NOD32 se encuentran protegidos contra el accionar de este troyano que es detectado por el antivirus como Win32/PSW.LdPinch.NBL.
(c) Eset, 2005
