Los usuarios reciben un correo electrónico con una felicitación por el día de San Valentín y un enlace para ver la tarjeta. Pero una vez que entran en el sitio se instalan en su máquina programas que perjudican el uso de la PC.
Cuando uno está enamorado, se sabe, muchas veces no se actúa con cordura. Los impulsos suelen prevalecer a la razón. Teniendo en cuenta este dato, aparecen los que quieren lucrar con eso. Y con Internet, el mundo interconectado, las posibilidades de especular con los sentimientos del corazón, son enormes.
Entonces aparecen los estafadores “on line”, especialistas en aprovechar todas las oportunidades. La forma, esta vez, es engañar a los internautas, a través de spam (e-mails no deseados), para que éstos entren a sitios maliciosos en donde puedan robarles todos sus datos.
El usuario, entonces, recibe un enlace para ver una tarjeta de felicitación electrónica, que supuestamente recibe de un conocido. Una vez entrado al sitio web, se le informa que necesita descargar un reproductor flash. Este reproductor flash, que utiliza el nombre de archivo flashplayer.cab, es en realidad un paquete que contiene un troyano denominado Win32/Hanlo.I.
El archivo flashplayer.cab contiene el archivo install.exe. Al ejecutarlo, el archivo crea y ejecuta el troyano principal Win32/Hanlo.I. A continuación, Hanlo.I crea un driver (controlador) que oculta la presencia del troyano en una máquina afectada.
El troyano se ejecuta cada vez que se inicializa el sistema registrándose como un servicio denominado “AVSearch service”. Sin embargo, como el componente driver de dispositivo del troyano se utiliza para ocultar el ejecutable principal, éste último no será visible por los usuarios afectados.
Con el objeto de mantener el engaño y ocultar su instalación, el troyano también abre una página web con el aspecto de una tarjeta electrónica de felicitación del Día de los Enamorados. Obviamente se trata de un sitio falso diseñado exactamente igual que el sitio real “Original Cards”. En este momento, los propietarios del sitio real están alertando sobre este troyano a todos los usuarios redirigidos desde el sitio falso.
Este troyano descarga y ejecuta archivos arbitrarios en el equipo afectado dejando al usuario vulnerable frente a otros peligros que acechan al sistema.
