Symantec descubre el modus operandi de ‘Printer Bomb’

El troyano ‘Printer Bomb’, denominado por Symantec como Trojan.Milicenso, fue descubierto hace un par de años, y a pesar de su nivel de amenaza, muy bajo según la firma de seguridad, ha sabido mantenerse vigente hasta estos días. De hecho, se acaba de desvelar su modus operandi.

Printer Bomb tomó su nombre de sus efectos: imprimir sin descanso hasta acabar con el papel, bloqueando además cualquier otro trabajo. Y la infección que en un principio se creía provenir de documentos adjuntos -maliciosos, por supuesto- de correos electrónicos, o scripts de sitios web -también maliciosos-, tiene otra explicación.

El origen parece estar en archivos .htaccess comprometidos (entre otras cuestiones de seguridad, estos archivos se encargan de asignar las redirecciones de los sitios web), de los que se aprovecharían los atacantes para diseminar a Trojan.Milicenso.

Al menos 4.000 páginas web han sido detectadas como portadoras y difusoras de este malware, y hay un poco de todo: sitios personales, de pequeños negocios, servicios financieros, compañías de telecomunicaciones e incluso gobiernos.

Parece que una forma de detectar el paso del troyano por los servidores es, precisamente, revisar los archivos .htaccess, en los que queda una huella muy visible: 1.600 líneas en blanco al principio y final del archivo.:

En cualquier caso, los administradores de sitios web harían bien en atender a la información publicada por Symantec, donde se dan todos los detalles.