Magala, el nuevo troyano que instala adware en tu ordenador

Conforme ha pasado el tiempo, los virus, troyanos y malware han ido evolucionando y los creadores detrás de dichos programas maliciosos han encontrado un gran tirón en la creación de software maligno que intenta hacer dinero a toda costa. El malware de encriptación o los botnets DDoS son dos métodos para conseguir dinero con estos ataques, pero no los únicos que pueden generar ganancias. Existen también familias de malware con bots publicitarios, es decir, aquellos que instalan anuncios y adware u otros programas no deseados sin consentimiento del usuario. En esta categoría, ha aparecido un malware que supera al resto en lo que respecta a los límites de la publicidad. Desde los laboratorios Kaspersky, han bautizado a este malware como Magala.

¿Qué es Magala?

Magala entra en la categoría de troyanos que imitan los clicks del usuario en una página concreta. Gracias a esto, consigue aumentar el contador de clicks de ese anuncio, por lo que genera ganancias. Magala, por sí mismo, no es un malware que afecte al usuario, más allá de que consume recursos del ordenador. La víctima  son aquellos que pagan por la publicidad, ya que por lo general son empresas pequeñas con publicistas sin escrúpulos que no dudan en recurrir a esta trampa.

En la primera fase de la infección, el troyano comprueba la versión de Internet Explorer que se ha instalado, y la localiza en el sistema. Al parecer, no afectaría a la versión 8 o superiores, por lo que en caso de tener esos  no te debes preocupar por este malware. Pero en caso de que no sea así, entonces el malware se podrá instalar en el ordenador sin que el usuario lo sepa.

El malware instala una barra de herramientas sin permiso

Se activa un escritorio virtual y desde ahí se instala el adware, de nuevo sin que el usuario conozca los detalles de qué se está instalando. Para poder interactuar con el contenido cuando abrimos una página, Magala utiliza la interfaz IHTMLDocument2, que es la estándar y hace que sea más fácil de utilizar.

En este punto, el troyano logra instalar MapsGalaxy Toolbar, que a su vez añade la web hxxp://hp.myway.com al registro del sistema y además está asociada con MapsGalaxy, por lo que se convierte automáticamente en la página de inicio del navegador. Una vez hace esto, Magala detecta si se ha instalado correcta la barra de herramientas y a partir de ahí comienza a contactar y solicitar búsquedas desde un servidor remoto, con tal de aumentar los clicks que necesita para darle un empujón a la web que quiera, y así falsear las visitas y ganar dinero.