Como sabemos, los creadores de malware no descansan y buscan día a día nuevas formas de lograr sus objetivos. En este caso no hablaremos de phishing o botnets, sino que lo haremos de aplicaciones maliciosas que intentan copiar el aspecto y funcionamiento de programas muy conocidos pero haciéndolo con un objetivo encubierto.
En esta oportunidad analizaremos un troyano el cual intenta camuflarse y hacerse pasar por el conocido reproductor multimedia de código abierto (open source) VLC Player. Este reproductor es muy popular ya que posee versiones para diferentes sistemas operativos. Particularmente el malware que analizaremos solo afecta a la plataforma Windows de Microsoft.
El intento de propagación del malware comienza con una pagina de descarga, la cual en apariencia es muy parecida a la pagina original del programa. El logo de la organización que es la creadora del VLC player esta copiado con exactitud, es mas, todos los links de la pagina falsa apuntan a los links de la pagina original, creando así una replica casi exacta del sitio web. Solamente el link de descarga del instalador del programa es falso y dirige a un servidor donde se aloja el malware.
Luego de descargar la aplicación falsa y ejecutarla, no hay indicios visibles para el usuario. Monitoreando los cambios que hace en el registro de Windows y analizando las capturas de trafico de red, podemos ver qué es lo que hace la aplicación realmente. Notamos que la aplicación intenta conectarse con un servidor de archivos del estilo de Rapidshare o Megaupload para descargar una aplicación. Al momento de hacer este análisis, el archivo que este malware intenta descargar ya no estaba disponible, por lo que podemos suponer dos cosas : una opción podría ser que intente descargar otra aplicación maliciosa para continuar su propagación o ampliar su peligrosidad y otra opción podría ser que baje realmente el archivo original del reproductor para tratar de pasar desapercibido. Ya sea un caso u otro la computadora ya esta infectada por la ejecución del primer archivo.
Este malware crea una .dll la cual, mediante la modificación del registro, es cargada en el inicio de Windows para seguir intentando descargar uno o varios archivos infectados. En este caso particular, la librería creada se llama tsdvdpa.dll.
En si, este malware no es altamente peligroso, el riesgo principal radica en el archivo que se intenta descargar de internet, el cual probablemente contenga las rutinas maliciosas. Este archivo es detectado por la heurística avanzada de ESET NOD32 Antivirus como una variante de Win32/Cimag.GF Troyano. Es importante verificar que la descarga de una aplicación se este realizando desde el sitio oficial de dicho software y no de un una copia del mismo. Esto es fácilmente verificable mediante la utilización de un buscador online, ya que luego de buscar el nombre del software, el primer resultado debería ser la empresa desarrolladora. Recomendamos instalar solo aplicaciones conocidas cuyo link de descarga se obtenga desde el sitio de la empresa y no desde un email o tweet.
Juan Esteban Forgia
Malware Analyst