Aviso de Seguridad: Trojan.Peacomm 

*** El 22 de Enero, Symantec Security Response ha incrementado el nivel de la amenaza del troyano Trojan.Peacomm (Storm Trojan) de nivel 1 (bajo) a nivel 3 (moderado). ***

Symantec Security Response ofrece un resumen del troyano Trojan.Peacomm para ayudar a los usuarios a comprender su impacto y ofrecerles información adicional de utilidad para evitar la amenaza.

Los primeros signos de Trojan.Peacomm fueron descubiertos el 17 de enero de 2007. Symantec Security Response ha observado un gran incremento en la cantidad de infecciones así como también nuevas capacidades del troyano. Este caballo de troya llega como adjunto a un e-mail que pretende contener un video relacionado con alguna noticia reciente. El mensaje no tiene texto en sí mismo, pero contendrá uno de los siguientes títulos:

• A killer at 11, he's free at 21 and kill again!
• U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel
• British Muslims Genocide
• Naked teens attack home director
• 230 dead as storm batters Europe
• Re: Your text
• Radical Muslim drinking enemies's blood
• Chinese missile shot down Russian satellite 
• Chinese missile shot down Russian aircraft 
• Chinese missile shot down USA aircraft 
• Chinese missile shot down USA satellite 
• Russian missile shot down USA aircraft 
• Russian missile shot down USA satellite 
• Russian missile shot down Chinese aircraft 
• Russian missile shot down Chinese satellite 
• Saddam Hussein safe and sound! 
• Saddam Hussein alive! 
• Venezuelan leader: "Let's the War beginning"
• Fidel Castro dead

Symantec recomienda además extrema cautela frente a mensajes no solicitados que contengan archivos adjuntos que aseguren ser legítimos o interesantes. La técnica de utilizar frases interesantes como título (subject) del mensaje o nombres de archivos adjuntos en emails para distribuir código malicioso es conocida como "ingeniería social" (social engineering). Esta técnica ha sido utilizada por los autores de las amenazas por muchos años, y por desgracia, suele ser efectiva contra usuarios no protegidos. El uso de noticias recientes como parte del mensaje es una técnica especialmente común.

El archivo adjunto al email tendrá alguno de estos nombres:

• FullVideo.exe
• Full Story.exe
• Video.exe
• Read More.exe
• FullClip.exe
• GreetingPostcard.exe
• MoreHere.exe
• FlashPostcard.exe
• GreetingCard.exe
• ClickHere.exe
• ReadMore.exe
• FlashPostcard.exe
• FullNews.exe

Debido a la naturaleza de esta amenaza, es probable que aparezca bajo nuevos títulos de e-mail (subjects) o utilice nuevos nombres de adjuntos. Se recomienda a los usuarios no abrir mensajes de este tipo.

El adjunto es en realidad un troyano que se auto instalará en el sistema como un controlador (driver) del sistema y luego descargará de Internet otros programas maliciosos de diversos equipos. El archivo adjunto y el troyano que contiene serán detectados.

Una vez que está instalada y ejecutándose, esta amenaza intentará establecer comunicaciones con otros sistemas infectados en Internet. Esta conexión es la fuente de distribución desde donde los otros programas maliciosos son descargados.

Se ha detecado que las nuevas versiones detectadas de esta amenaza utilizan rootkits que intentan ocultar su presencia. Symantec Security Response ofrecerá firmas de detección de virus actualizadas a última hora del 22 de Enero (Hora del Pacífico) que detectarán y removerán las versiones de esta amenaza que incluyen capacidades de rootkit. Todas las variantes previas de esta amenaza ya están siendo detectadas y eliminadas con las definiciones de virus existentes.

Puede encontrar información detallada acerca de esta amenaza puede en el blog de Symantec Security Response (en inglés). Puede consultar además los detalles técnicos, recomendaciones y instrucciones de eliminación en la ficha de Trojan.Peacomm de Security Response en español.

En este momento, Symantec Security Response a aumentado la valoración de Trojan.Peacomm  a mediana severidad, con una calificación de riesgo de 3 (sobre un máximo posible de 5).