Informe Semanal de Panda Software de Virus e Intrusos.

El informe de hoy está protagonizado por tres troyanos -Nabload.U, Banker.BSX y AKStealer.A-, y por un exploit -denominado Metafile-.

Informe Semanal de Panda Software de Virus e Intrusos.

Esta semana Nabload.U y Banker.BSX causaron miles de incidencias en ordenadores de todo el mundo, hasta llegar a ser los ejemplares de malware más frecuentemente detectados por la solución antivirus online y gratuita Panda ActiveScan.

Nabload.U y Banker.BSX son dos troyanos íntimamente ligados, ya que para instalarse en los ordenadores llevan a cabo un ataque combinado. Éste se inicia con la recepción, a través de MSN Messenger, de un mensaje que simula proceder de uno de los contactos de la citada aplicación e incita a visitar una determinada página web. En la práctica, cuando se visita la referida web, Nabload.U se descarga en el sistema, en el que además descarga a Banker.BSX. En el equipo al que afecta, Banker.BSX lleva a cabo varias acciones, entre las que destacan las siguientes:

- Envía, a los contactos de MSN Messenger, mensajes con el enlace desde el que se descarga Nabload.U.

- Abre el puerto 1106 y queda residente en memoria.

- Monitoriza si el usuario accede a determinadas páginas web, pertenecientes a entidades bancarias de habla hispana. Si se accede a alguna de ellas, captura los datos que se introducen en ellas (como las contraseñas), que posteriormente envía a una dirección de correo electrónico.

El tercer troyano al que nos referimos es AKStealer.A, que no posee medios propios de propagación, por lo que depende de la distribución manual de terceros (por correo, descargas de Internet, transferencia de ficheros a través del FTP, u otros medios). Tras instalarse en un PC, realiza varias acciones, entre las que sobresalen las que se mencionan a continuación.

- Obtiene los nombres de usuario y contraseñas de proxies de Internet Explorer, Outlook, cuentas de Google, ebay, Monster.com, Paypal, e-gold, Careerbuilder.com, GMX.net y Passport. La información que obtiene la guarda en el Registro de Windows, para después enviarla a un sitio web por medio de un script PHP.

- Instala un servidor proxy en el ordenador afectado, y registra su dirección IP para así poder utilizarlo.

- Crea varias entradas en el Registro de Windows y, mediante algunas de ellas, quedará como el depurador predeterminado de otras aplicaciones comunes como, por ejemplo, Internet Explorer, Explorador de Windows, y Reproductor Multimedia de Windows, etc. De esta forma, AKStealer.A consigue activarse automáticamente cada vez que se ejecute alguno de los citados programas.

Finalizamos el presente informe con Metafile, exploit o código escrito específicamente para aprovechar un problema de seguridad en la librería GDI32.DLL -utilizada por programas como el Visor de Imágenes y Fax de Windows-, que afecta a las siguientes plataformas de Windows: 98, Millennium Edition (ME), 2000, XP y Server 2003, según ha informado Microsoft.

La aludida vulnerabilidad puede ser explotada mediante la creación de una imagen WMF (Windows MetaFile), y su posterior distribución a través de cualquier método como, por ejemplo, alojándola en una página web y convenciendo a usuarios de que la visiten. Si la víctima utiliza Internet Explorer, al visitar la web maliciosa puede provocarse la ejecución automática de código arbitrario. Sin embargo, si se utiliza otro navegador diferente, el usuario puede ser advertido de la descarga del archivo.

Hasta que Microsoft publique la actualización que resuelve el citado problema de seguridad es recomendable evitar utilizar el Visor de Imágenes y Fax de Windows para abrir imágenes WMF potencialmente maliciosas.

Sobre PandaLabs

Desde 1990, tiene como misión analizar las nuevas amenazas lo antes posible para mantener seguros a nuestros clientes. Varios equipos especializados en cada tipo concreto de malware (virus, gusanos, troyanos, spyware, phishing, spam, etc.) trabajan 24×7 ofreciendo una cobertura global. Para ello, se apoya en las Tecnologías TruPreventTM, un auténtico sistema global de alerta temprana formado por sensores estratégicamente distribuidos, que neutraliza nuevas amenazas y las envía a PandaLabs para su análisis en profundidad. De acuerdo con Av.Test.org, actualmente, PandaLabs es el laboratorio más rápido de la industria en proporcionar actualizaciones completas a los usuarios (más información en www.pandasoftware.es/pandalabs.asp/).

Más información sobre amenazas informáticas en la Enciclopedia de Panda Software:
www.pandaantivirus.com.ar/enciclopedia

Antivirus Online Gratis y Actualizado al día con la última tecnología:
www.ActiveScan.com.ar

Controle en el nivel de protección de su antivirus:
www.antiviruschecker.com.ar

Más definiciones técnicas sobre virus y malware:
www.pandaantivirus.com.ar/glosario

Descargas de aplicaciones gratuitas PQRemove desde Servidor de Argentina:
www.pandaantivirus.com.ar/solucionesinmediatas

Recursos Gratuitos para Webmasters:
www.pandaantivirus.com.ar/webmasters

Más información sobre las Tecnologías TruPreventTM en:
www.pandaantivirus.com.ar/truprevent

Fuente:
Panda Software
Comunicación y Marketing Argentina

Panda Antivirus
Dast Informática S.R.L.
Distribuidor Mayorista Panda Software Argentina
www.pandaantivirus.com.ar

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática