TrojanGet causa infecciones en todo el mundo

Hace unos días comenzamos a recibir mensajes de usuarios diciendo que su programa antivirus detectaba troyanos en el directorio de Flashget directory.

Nuestros análisis mostraron que el problema afectaba a usuarios de FlashGet de todo el mundo. Archivos llamados inapp4.exe, inapp5.exe, e inapp6.exe (que Kaspersky Anti-Virus detecta como Trojan-Dropper.Win32.Agent.exo, Dropper.Win32.Agent.ezxo y Trojan-Dowloader.Win32.Agent.kht) aparecieron en los ordenadores de las víctimas.

Lo más extraño fue que no se detectó ningún otro troyano que podría haber descargado los archivos nocivos al sistema. Es más, los sistemas operativos y navegadores de algunos usuarios afectados estaban al día en sus actualizaciones. Entonces, ¿Cómo ingresaron los programas nocivos a sus ordenadores?

Lo primero que notamos fue la ubicación de los troyanos: el directorio de FlashGet. Haciendo un análisis más cercano, nos dimos cuenta de que se había creado o modificado la fecha del archivo FGUpdate3.ini hace poco tiempo (las diferencias con el original están en azul):

Según información que encontramos en la red, la primera infección se detectó el 29 de febrero. El último caso que hemos escuchado ocurrió el 9 de marzo. Esto significa que un programa legítimo actuó como un Trojan-downloader por 10 días, instalando y ejecutando troyanos desde su propio sitio.

Los troyanos se han eliminado del sitio, y FGUpdate3.ini (que también se descarga al ordenador del usuario por Internet) ha vuelto a la normalidad.

Entonces, ¿Cómo se convirtió FlashGet en un Trojan-Downloader? Hay una explicación obvia: algún hacker alteró el sitio, sustituyó el archivo de configuración estándar y le agregó un enlace a un troyano dentro del mismo sitio. No está claro por qué el hacker no usó otro sitio. Tal vez lo hizo para que su ataque fuera más sigiloso, pues si un enlace en el archivo de configuración dirige a FlashGet es menos probable que levante sospechas. Decidimos probar si se puede usar esta técnica para descargar cualquier archivo del sitio. ¿El resultado? Sí, se puede.

Todo lo que debe hacer es añadir un enlace (que puede dirigir al archivo que usted desee) al archivo FGUpdate3.ini y lo descargará de forma automática a su ordenador cada vez que ejecute FlashGet. Aunque no presione “Actualizar”, FlashGet usa la información del archivo .ini. Todas las versiones de FlashGet 1.9.xx tienen esta “vulnerabilidad”.

Así que, aunque el sitio ya no está alterado, los usuarios siguen vulnerables. Cualquier programa troyano podría modificar el archivo local .ini FlashGet y hacer que actué como un Trojan-Downloader. Muchos usuarios incluyen a FlashGet en su lista de sitios confiables, lo que significa que el sitio puede realizar cualquier actividad en Internet e ingresar a cualquier sitio sin que el usuario reciba alerta alguna.

Hasta ahora, los vendedores de FlashGet de China no han dado su respuesta oficial. La razón del incidente sigue sin conocerse y no se garantiza que no vuelva a suceder. Los usuarios pueden sacar sus propias conclusiones… y tomar las medidas que crean necesarias.