Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
24/06/2011
Hipòtesi (1):
"Sostracció directa del portamonedes virtual d'usuaris legítims, el 'wallet.dat', on es troba la clau privada de l'usuari que facilita operar amb el seu diners."
Unes hores després de publicar-se la nostra notícia, vaig localitzar un troià que feia precisament això, i vaig fer un parell de comentaris en Twitter:
L'endemà, arran d'aqueixos comentaris, Symantec publicaria un article (post) en el seu bloc sobre el troià que, finalment, va obtindre una certa repercussió mediàtica:
* Hipòtesi (2):
"Hi ha una altra via que consistiria a posar a "minar" ordinadors de tercers, per tal de generar els teus diners, per exemple, si eres administrador d'una xarxa corporativa podries utilitzar servidors i estacions de treball de la xarxa."
Hui botava a la llum l'expedient obert a un administrador de sistemes d'ABC Innovation, per un cas greu de mala conducta. El treballador és acusat d'usar els servidors i sistemes de l'empresa per a "minar" bitcoins: http://bit.ly/iWVP6p
* Hipòtesi (3):
"També es podria fer de forma distribuïda i massiva per Internet, aprofitant sistemes infectats, via una xarxa d'ordinadors mòbils. De fet, ja hi ha algunes versions del programari original dissenyades per a executar-se de forma oculta i aprofitar els cicles ociosos dels ordinadors per a no alçar sospites."
De nou detectem un codi maliciós (malware) dissenyat a aquest efecte, també anunciat per Twitter:
Arran d'aquests casos hem detectat més mostres semblants, incloent-hi droppers que instal·len i executen, de forma oculta, el dimoni oficial "bitcoind.Exe" i variants molt semblants, per la qual cosa ens reiterem en el nostre consell original:
«Ja hi ha algunes versions del programari original dissenyades per a executar-se de forma oculta i aprofitar els cicles ociosos dels ordinadors per a no alçar sospites.[...] Al meu parer, donades les circumstàncies, no seria sobrer que foren detectades sota la categoria de PUA (Potentially Unwanted Application) o semblant, de forma que els administradors i usuaris particulars tingueren la opció d'identificar aquest tipus de programari instal·lat en les seues màquines».
De moment, Symantec ha estat l'únic motor antivirus que ha seguit la recomanació: http://bit.ly/j7nNQH