Um pesquisador da Sunbelt Software, Patrick Jordan, estava investigando um exploit relacionado com o CoolWebSearch quando descobriu que outros programas maliciosos além do CWS foram instalados no sistema.
Os programas maliciosos que foram instalados se conectaram em um servidor localizado nos Estados Unidos, mas com domínio registrado por uma organização em outro país. Quando Jordan examinou este servidor, descobriu dados bancários de várias pessoas, além de contas no eBay, sessões de chat, combinações de usuários e senhas para vários serviços e outros dados. Qualquer pessoa que sabe o endereço do servidor terá acesso aos dados.
O presidente da Sunbelt, Alex Eckelberry, diz que encontrou uma conta bancária com mais de US$350 mil e outra com US$11 mil disponíveís para saque imediato. Eckelberry deixa claro, entretanto, que “este keylogger não é um CoolWebSearch. Ele foi descoberto durante [a investigação de] uma infestação por CWS, mas na realidade ele é seu próprio pequeno trojan criminal sofisticado, independente da CWS.”
A Sunbelt software já entrou em contato com o Serviço Secreto e com o FBI nos Estados Unidos e estão investigando o servidor e entrando em contato com as vítimas para evitar danos maiores.
Identificar o trojan pode ser uma tarefa difícil, já que ele utiliza o RunDll32.exe do Windows (que é um arquivo legítimo e necessário para o sistema) para executar uma DLL maliciosa. Como muitos firewalls não bloqueiam o RunDll32.exe por ser um arquivo do sistema, eles podem não ser capazes de bloquear os dados que a praga envia para o servidor.
A SunbeltSoftware prometeu uma ferramenta de remoção gratuita para a praga, que deve ser lançada nas próximas 24 horas.
Linha Defensiva 