Un keygen generoso

Por desgracia, es común encontrar en Internet aplicaciones para validar de forma ilegítima los programas comerciales. Esto captó la atención de escritores de virus, que prepararon un par de sorpresas para quienes quieren recibir un regalito de vez en cuando.

Hace poco detectamos un Trojan dropper que se hace pasar por un generador de claves (keygen) para productos Kaspersky Lab. El nombre del archivo es kaspersky.exe.

Cuando se lo ejecuta, el archivo muestra la ventana del keygen, que pide al usuario que seleccione un producto. El programa genera una clave cuando el usuario escoge una de las opciones.

Ventana del keygen

Mientras el usuario espera los resultados, el dropper instala y ejecuta otros dos programas maliciosos que toman control del ordenador.

Kaspersky Lab detecta a uno de ellos como Trojan.MSIL.Agent.aor. Esta amenaza roba los datos de registro y contraseñas a otros programas, en especial los que sirven para ingresar a juegos en línea. Después almacena todos los datos robados en un archivo. La captura de pantalla de abajo muestra un fragmento del archivo.

Fragmento de un archivo lleno con datos de registro para un programa específico

El troyano también modifica el archivo del sistema “hosts” para bloquear el acceso a varios sitios web. Por ejemplo, se bloquea el acceso a sitios web como virustotal.com y virusscan.jotti.org, que ofrecen analizar archivos con muchos programas antivirus a la vez.

Fragmento de un archivo host modificado:

El segundo programa que instala el dropper es una típica puerta trasera con funcionalidades de keylogger, que captura y registra las teclas que pulsa el usuario. La detectamos como Trojan.Win32.Liac.gfu.

Así, al ejecutar el supuesto keygen para Kaspersky Internet Security infectarás tu ordenador con un par de programas maliciosos muy dañinos, a los que KIS tendrá que combatir. Esto si las claves que genera el “keygen” funcionan, claro.