El troyano 'Downeks' es sometido a análisis por el CCN-CERT

Downeks es el nuevo troyano catalogado como infección severa diseñado para infiltrarse en sistemas y archivos corruptos para abrir puertas traseras de los ordenadores en los que reside. De esta forma, la amenaza permite a los malhechores lanzar ataques DDoS y aprovecharse de los recursos del sistema. Se utiliza para cambiar la configuración predeterminada del navegador y de la red en el PC infectado con el fin de ejecutar una instancia para inyectar otro malware grave en canales HTTP no cifrados. Como sucede con el código malicioso catalogado como troyano, se propaga entre usuarios a través de enlaces infectados o correos electrónicos no deseados. También puede permitir el acceso no autorizado al ordenador por parte de los delincuentes

Actualmente, el nivel de alerta asociado a Downeks es muy alto, según lo cataloga el CCN-CERT. La organización lo está analizando ya que por su forma de proceder intenta tomar el control de los sistemas infectados. En el informe, el CNN-CERT recoge el análisis del mismo como elemento de puerta trasera cuyo objetivo principal es tomar el control de las máquinas infectadas desde las cuales realiza la extracción de credenciales y la obtención de las teclas que son presionadas.

Según informa el Centro Criptológico Nacional, el binario se copia a sí mismo en la ruta de inicio del usuario. Necesita de al menos un reinicio del sistema operativo para completar su instalación. El binario se descifra en memoria. Crea un mutex en una carpeta para su instalación. El binario se vuelve a copiar, esta vez en el directorio de datos de aplicación. Si se ejecuta con privilegios elevados, crea una tarea programada para asegurar su ejecución en cada inicio del sistema. El CNN incluye una sección sobre las reglas de detección, así como la posibilidad de acceder a los informes en la sección de Informes de Código Dañino del portal del propio CCN-CERT.