Información sobre virus: Nueva oleada de gusanos.

Nueva oleada de gusanos que aprovechan la epidemia provocada por Mydoom

– El gusano Nachi.B borra a Mydoom.A y Mydoom.B, aunque para propagarse hace uso de varias vulnerabilidades de Windows.

– DoomHunter.A está diseñado para eliminar a los gusanos Mydoom, Doomjuice y Blaster de los equipos afectados.

– Deadhat.B y Mitglieder.A se introducen en los ordenadores a través de la puerta trasera creada por Mydoom.

12 de febrero de 2004

En un corto intervalo de tiempo, PandaLabs ha detectado la aparición de cuatro nuevos gusanos relacionados con la epidemia provocada por los gusanos Mydoom: Nachi.B (W32/Nachi.B.worm), DoomHunter.A (W32/DoomHunter.A.worm), Deadhat.B (W32/Deadhat.B.worm) y Mitglieder.A (W32/Mitglieder.A.worm).

Nachi.B es una nueva variante del famoso código malicioso que se propagó en agosto de 2003. Al igual que el gusano original es, aparentemente, una especie de “Robin Hood” que se dedica a limpiar equipos infectados por otros virus. Así, Nachi.B elimina a Mydoom.A y Mydoom.B de los equipos en los que se instala, aunque no lo hace de manera gratuita, ya que, para propagarse, hace uso de los siguientes agujeros de seguridad del sistema operativo Windows:

– Desbordamiento de buffer en RPC DCOM (MS03-26)
– IIS WebDav (MS03-07)
– Desbordamiento de buffer en servicio de estación de trabajo (MS03-049)

Nachi.B se propaga directamente a través de Internet en busca de equipos cuyos puertos TCP/IP 80, 135 y 445 se encuentren desprotegidos. Cuando localiza a su víctima el gusano lanza el ataque, descargando una copia de sí mismo en el sistema con el nombre WskPatch.exe. Ésta se ejecuta automáticamente, creando el archivo Svchost.exe que contiene otra copia del código de Nachi.B.

Además, en caso de que el sistema se encuentre afectado por cualquiera de los gusanos Mydoom, Nachi.B desinstala los archivos asociados a ellos, y borra las entradas que hayan creado en el registro de Windows.

En cambio, DoomHunter.A si que parece haber sido diseñado con un objetivo más altruista, ya que este código malicioso no solamente elimina a Mydoom.A y Mydoom.B sino también a los gusanos Blaster y Doomjuice.

DoomHunter.A se introduce en los equipos a través de la puerta trasera creada por Mydoom y crea el archivo llamado worm.exe. En caso de detectar la presencia de alguno de los virus mencionados, borra cualquier rastro de ellos. Además, abre el puerto TCP 3127, permaneciendo a la escucha. En caso de que no logre abrirlo, lo seguirá intentando cada 5 segundos. De esa manera, si durante la escucha detecta algún intento de “llamada”, automáticamente se enviará al equipo “llamante” para ejecutarse en él.

Deadhat.B, es una versión mejorada del gusano que hizo su aparición hace unos pocos días. Para propagarse, entra directamente a través de Internet utilizando la puerta trasera que Mydoom.A y Mydoom.B instalan en los ordenadores. Sin embargo, también puede utilizar el programa para compartir archivos SoulSeek.

Una vez dentro del equipo, Deadhat.B crea un archivo con una copia de sí mismo con el nombre msgsvr32.exe y genera varios ficheros con nombres variables en el directorio de archivos compartidos de SoulSeek, siempre que éste último se encuentre instalado en el sistema.

Tras ello, cierra cualquier proceso en memoria relacionado con los gusanos Mydoom.A o Mydoom.B, además de otros correspondientes a aplicaciones comunes, entre las que se encuentran varios programas antivirus y de seguridad. Finalmente, crea una entrada en el registro de Windows con el objeto de asegurar su ejecución cada vez que se reinicie el ordenador.

Bajo determinadas circunstancias, Deadhat.B puede borrar archivos esenciales para el funcionamiento del sistema. Además, se conecta a un canal de IRC a la espera de recibir órdenes de su creador para llevar a cabo nuevas acciones maliciosas.

Finalmente, Mitglieder.A también se introduce en los sistemas a través de la puerta trasera creada por los gusanos Mydoom, copiándose en el ordenador en un archivo con el nombre system.exe. Está diseñado para detener los procesos en memoria de diversos programas y asegura su presencia permanente en el equipo mediante una nueva entrada en el registro de Windows.

Dado que Nachi.B, DoomHunter.A, Deadhat.B y Mitglieder.A ya han causado algunas incidencias, según los datos de la red internacional de Soporte Técnico de Panda Software, la multinacional aconseja extremar las precauciones y actualizar lo antes posible las soluciones antivirus. Panda Software ya ha puesto a disposición de sus clientes las correspondientes actualizaciones de sus productos para la detección y eliminación de los cuatro gusanos, por lo que, si no tienen su software configurado para realizarlo de modo automático, pueden proceder a actualizar sus antivirus.

Además, los usuarios que lo deseen pueden analizar “online” sus sistemas con la solución antivirus gratuita Panda ActiveScan, que se encuentra disponible en la página web de la compañía, en: www.activescan.com.ar

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Fuente:
Panda Antivirus
Distribuidor Mayorista Panda Software Argentina

www.pandaantivirus.com.ar
Información de Panda Software

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática