Desde finales de la semana pasada hemos tenido constancia de una oleada de correos haciendo referencia a un falso mensaje de Fax enviado supuestamente desde un proveedor legítimo de este servicio, como es la empresa eFax. En el mensaje de correo se adjunta un archivo, que según se indica en el texto, muestra la transcripción de dicho Fax.
El archivo adjunto es un archivo ejecutable, camuflado bajo un icono de Microsoft Word, que oculta una infección detectada por ESET, llamada Win32/Oficla.ID. Este troyano intenta insertar código en procesos de ejecución para así descargar y ejecutar código arbitrario, al igual que variantes anteriores de este mismo troyano.
Esta variante modifica el registro del system.ini agregando lo siguiente: Shell=explorer.exe rundll32.exe yise.ero mpgyjp, además, un proceso llamado taskeng.exe alojado en la carpeta c:\Windows\System32 intenta conectase a Internet para descargar ese código malicioso.
Desde el departamento técnico de ESET en Ontinet.com advertimos a los usuarios de este nuevo intento de infección haciendo uso de la ingeniería social. Esta infección se encuentra en el Top 5 de infecciones detectadas en la última semana, tal y como pueden observar en nuestra página Virusradar.com.
David Sánchez