Con Halloween a la vuelta de la esquina, los usuarios de Internet deben poner especial atención a los muchos emails con tarjetas adjuntas que llegarán a sus correos electrónicos.

Las tarjetas de felicitación han sido constantemente aprovechadas por los creadores de malware para distribuir sus creaciones. Y al igual que Win32.Worm.Waledac, su nuevo compañero en la falsificación de tarjetas electrónicas, Win32. Worm.Prolaco suele aparecer en los buzones de correo de los usuario en los días cercanos a fiestas importantes como San Valentín, Navidades o, en este momento, Halloween. Se trata de un gusano que, en verdad, sí que da miedo.

Método de propagación de Win32.Worm.Prolaco En primer lugar, este gusano se propaga a través de emails que contiene un adjunto en formato .Zip con un ejecutable en su interior oculto como si se tratara de un formato .doc, .chm, .pdf., .jpg u otros, dando lugar a nombres como "card.pdf.exe" o "document.chm.exe", o que hace difícil para los usuarios de detectarlos, sobre todo cuando el sistema operativo está configurado para no mostrar los tipos de archivo conocidos. En segundo lugar Prolaco puede propagarse a través de dispositivos USB y redes Peer-to-Peer (P2P). Este gusano crea un archivo autorun.inf que apunta a un archivo ejecutable, detectado por BitDefender como redmond.exe, aunque esto podría variar en futuras versiones. Prolaco hace múltiples copias de sí mismo que son distribuidas de la siguiente manera: una copia oculta se añade a la carpeta de sistema bajo el nombre wmimngr.exe, jusched.exe o wfmngr.exe, mientras otra es distribuida a través de redes P2P haciéndola pasar por cracks o keygens para diferentes programas comerciales. Cómo se produce la infección Una vez el archivo incluido en el .Zip es abierto, Prolaco se instala en el sistema y comienza su trabajo malicioso. De inicio, cambia varias entradas del Registro de Windows a fin de lanzarse a sí mismo cada vez que Windows sea reiniciado y para poder abrir un canal de comunicación en el cortafuegos del sistema. También debilita la configuración de seguridad local mediante la desactivación de las notificaciones que aparecen cuando un programa intenta instalarse y mediante la desactivación de cuentas de usuario en Windows Vista ® y Windows ® 7. Con la seguridad desactivada, Prolaco inyecta código malicioso en el proceso iexplore.exe y se comporta como un keylogger, grabando todas las pulsaciones del teclado en un archivo llamado lsm.dll que se encuentra en la carpeta de Windows. Payload Este gusano todo-en-uno se comporta también como un backdoor que se conecta a [eliminado].hop.net con el fin de recibir varios comandos desde el host. Sobre la base de cualquier instrucción que recibe, es capaz de: modificar entradas en el registro o la configuración gráfica (resolución, frecuencia), iniciar o finalizar procesos, acceder a las unidades de memoria, escanear puertos, descargar / ejecutar archivos desde o hacia la memoria, terminar procesos del antivirus, robar contraseñas de los navegadores y cuentas de redes sociales. También puede robar las cookies, conectarse a servidores FTP, cargar los datos en los servidores de FTP, cambiar la configuración de servicios o monitorizar el puerto USB para propagarse con mayor facilidad El gusano es más de lo que parece a primera vista. Su objetivo final es la instalación de una herramienta de acceso remoto que permite a un atacante tomar el control del equipo infectado y disponer a su antojo de los datos almacenados. En los días cercanos a fiestas como Halloween es imprescindible que los usuarios sean más cautelosos cuando se envían o reciben esas tarjetas de felicitación, porque algunas de ellas pueden contener malware.

FUENTE :http://www.laflecha.net/canales/seguridad/noticias/se-acerca-halloween-y-con-el-nuevas-amenazas