Informe Semanal de Panda Software de virus e intrusos

El informe de esta semana centra su atención en un gusano -Mytob.LX-, en un backdoor -Ryknos.G- y en un troyano -Downloader.GPH-.

Informe Semanal de Panda Software de virus e intrusos

El gusano Mytob.LX se propaga por e-mail, enviando masivamente un mensaje que informa de que para poder seguir disfrutando de los servicios de una determinada compañía de seguridad es necesario que el usuario visite una página (para confirmar su dirección de correo electrónico). Sin embargo, en la práctica, cuando se accede al referido sitio se descarga el fichero Confirmation_Sheet.pif, que es una copia de Mytob.LX.

Tras instalarse en un equipo, este gusano busca (en los archivos temporales de Internet, en la libreta de direcciones del usuario y en los ficheros con determinadas extensiones) direcciones de correo -que contengan cadenas de texto específicas- a las que se envía, utilizando para ello su propio motor SMTP. Para contactar con servidores SMTP remotos, Mytob.LX añade uno de los siguientes prefijos al dominio de correo: gate, mail1, mail, mx, mx1, mxs, ns, relay y smtp.

Mytob.LX tiene comportamiento de backdoor, ya que se conecta a un servidor IRC para recibir órdenes de control. Este gusano también finaliza -si están activos- varios procesos, algunos los cuales corresponden a soluciones antivirus. Además modifica el fichero host, impidiendo así que el usuario pueda acceder a varias páginas web, que pertenecen a compañías de seguridad.

El backdoor al que nos referimos hoy es Ryknos.G, que no posee medios propios de propagación, por lo que depende de la distribución manual de terceros (por correo, descargas de Internet, transferencia de ficheros a través del FTP, u otros medios). Para evitar ser detectado y examinado, no se ejecuta en aquellos ordenadores que se llaman "sandbox" y tienen como usuario a "CurrentUser" (ya que ambos datos se encuentran en sistemas habitualmente empleados para capturar y analizar malware).

En el equipo al que afecta, backdoor lleva a cabo varias acciones, entre las que destacan las siguientes:

- Finaliza varios procesos pertenecientes a varios cortafuegos y programas antivirus, dejando así al PC sin protección.

- Se conecta al canal #ran2 -de un servidor IRC-, para recibir órdenes de control remoto que llevar a cabo.

- Genera, en el Registro de Windows, varias entradas con el objetivo de ejecutarse cada vez que se inicia Windows.

Finalizamos el informe de hoy con Downloader.GPH, troyano que cuando es ejecutado en un ordenador muestra un mensaje de error. Además, en los equipos a los que afecta descarga un archivo ejecutable que, a su vez, descarga y ejecuta varios archivos correspondientes a un gusano y a un troyano.

Más información sobre amenazas informáticas en la Enciclopedia de Panda Software:
www.pandaantivirus.com.ar/enciclopedia

Antivirus Online Gratis y Actualizado al día con la última tecnología:
www.ActiveScan.com.ar

Controle en el nivel de protección de su antivirus:
www.antiviruschecker.com.ar

Más definiciones técnicas sobre virus y malware:
www.pandaantivirus.com.ar/glosario

Descargas de aplicaciones gratuitas PQRemove desde Servidor de Argentina:
www.pandaantivirus.com.ar/solucionesinmediatas

Recursos Gratuitos para Webmasters:
www.pandaantivirus.com.ar/webmasters

Más información sobre las Tecnologías TruPreventTM en:
www.pandaantivirus.com.ar/truprevent

Fuente:
Panda Software

Panda Antivirus
Dast Informática S.R.L.
Distribuidor Mayorista Panda Software Argentina
www.pandaantivirus.com.ar

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática