El archivo flashplayer.cab contiene el archivo install.exe (detectado como Win32/MicroJoiner.I por las soluciones CA Antivirus). Al ejecutarlo, el archivo crea y ejecuta el troyano principal ejecutable Win32/Hanlo.I. A continuación, Hanlo.I crea un driver (controlador) que oculta la presencia del troyano en una máquina afectada.
El troyano se ejecuta cada vez que se inicializa el sistema registrándose como un servicio denominado “AVSearch service”. Sin embargo, como el componente driver de dispositivo del troyano se utiliza para ocultar el ejecutable principal, éste último no será visible por los usuarios afectados.
Con el objeto de mantener el engaño y ocultar su instalación, el troyano también abre una página web con el aspecto de una tarjeta electrónica de felicitación de San Valentín. Se trata de un sitio falso diseñado para imitar el sitio real “Original Cards”. En este momento, los propietarios del sitio real, http://www.original-cards.com/, están alertando sobre este troyano a todos los usuarios redirigidos desde el sitio falso.
Este troyano descarga y ejecuta archivos arbitrarios en el equipo afectado dejando al usuario vulnerable frente a otros peligros que acechan al sistema.
Las soluciones eTrust Antivirus de CA lo detectan. CA recomienda a los usuarios que mantengan su protección antivirus actualizada con las últimas firmas de virus.
Heather Goudey, Ingeniera de Investigación Senior de CA y Asesora de Seguridad, afirma: “Esto es un ejemplo de un clásico ataque de ingeniería social que se hace eco del antiguo virus Love (VBS.Loveletter). Parece que, de alguna manera, hemos completado el círculo ya que este tipo de artimañas solían distribuirse para convencer a los usuarios de que ejecutaran inadvertidamente programas maliciosos, principalmente gusanos enviados masivamente por correo electrónico. Con el declive de este tipo de gusanos y la creciente desconfianza de la comunidad de usuarios ante este tipo de mensajes, éstos ya no lograban su objetivo. Actualmente, parece que los atacantes asumen que los usuarios han bajado la guardia – sólo queda comprobar qué nivel de éxito tendrá esta táctica. La diferencia con las experiencias similares en el pasado es que en la actualidad asistimos a ataques más controlados que utilizan técnicas de gusanos enviados masivamente por correo electrónico. Y debido al predominio de sistemas expuestos a spambots, ya no es necesario crear un gusano propio – en la actualidad el código malicioso se distribuye de la misma forma que el spam”.
