Informe Semanal de Panda Software de Virus e Intrusos.

El presente informe está protagonizado por un exploit – BodyOnLoad -, un troyano – AVKiller.V -, y un gusano – Samony.B -.

Informe Semanal de Panda Software de Virus e Intrusos.

BodyOnLoad es un programa desarrollado para aprovecharse de la vulnerabilidad crítica de Ejecución Remota de Código de ventanas Javascript en Internet Explorer. Su objetivo es descargar cualquier clase de archivo en el ordenador, con el peligro que ello conlleva si los ficheros corresponden a ejemplares de malware, que se alojarían en páginas web de contenido para adultos. En la práctica, el proceso de infección se iniciaría con la visita del usuario a dichas páginas, que redirigen a una segunda en la que se encuentra alojado BodyOnLoad.

BodyOnLoad ya ha sido empleado para descargar y ejecutar una copia de un troyano que Panda Software detecta como Downloader.DLE. Aprovechándose del mencionado problema de seguridad, el citado exploit instala en los equipos un archivo -KVG.exe-, que pertenece al citado troyano y descarga y ejecuta dos archivos más -all.exe y XPsys.exe-. Los dos últimos también son componentes de Downloader.DLE y tienen como finalidad bajar los niveles de seguridad del navegador, ser punto de entrada de otro malware e instalar en el equipo varios ficheros que pertenecen a PicsPlace, programa que continuamente abre páginas de contenido para adultos.

La segunda amenaza a la que nos referimos hoy es AVKiller.V que, como todos los troyanos, no posee medios propios de propagación, por lo que depende de la distribución manual de terceros (por correo, descargas de Internet, transferencia de ficheros a través del FTP, u otros medios). En el equipo al que afecta, este troyano lleva a cabo varias acciones, entre las que destacan las siguientes:

- Intenta descargar -de una página web- el archivo SERVER.EXE, que corresponde a un troyano que Panda Software detecta como Banker.BHD.

- Elimina entradas del Registro de Windows que pertenecen a programas de seguridad, para impedir que se ejecuten cada vez que se inicia Windows.

- Borra, del directorio "Archivos de programa", todos los ficheros de la subcarpeta MICROSOFT ANTISPYWARE (que corresponden al antispyware de Microsoft).

- Crea dos archivos: STRT.EXE, que es una copia suya; y VM2.DLL, componente de AVKiller.V que se instala en el equipo para ejecutarse a la vez que Internet Explorer.

- Genera una entrada en el Registro de Windows, para ejecutarse siempre que se enciende el equipo.

Samony.B, por su parte, es un gusano con características de backdoor que se propaga a través de correo electrónico, en un mensaje escrito en inglés que tiene en el campo del asunto el texto: "Account # 394875948JNO Wed, 28", e incluye un archivo denominado "MAIN_23_C.EXE".

Tras instalarse en un ordenador Samony.B realiza, entre otras, las acciones que se mencionan a continuación:

- Permanece a la escucha del puerto 321 para recibir órdenes de control remoto (descargar, ejecutar, copiar y borrar archivos, listar directorios, etc.), que permiten que el ordenador afectado pueda ser administrado de forma remota.

- Obtiene las contraseñas almacenadas en el ordenador como, por ejemplo, en Protected Storage, donde se encuentran las claves de Outlook, Internet Explorer, etc.

- Registra las pulsaciones de teclado.

- Descarga una determinada página web, en la que aparece un número. Si la cifra es igual o mayor que 0013, Samony.B intentará actualizarse a sí mismo descargando el archivo DOWNLOAD.EXE de la referida página.

- Envía una copia suya a todos los contactos que encuentra en la Libreta de Direcciones de Windows y a las direcciones que encuentre en archivos con extensión HTML.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software.

Sobre PandaLabs

Desde 1990, tiene como misión analizar las nuevas amenazas lo antes posible para mantener seguros a nuestros clientes. Varios equipos especializados en cada tipo concreto de malware (virus, gusanos, troyanos, spyware, phishing, spam, etc.) trabajan 24×7 ofreciendo una cobertura global. Para ello, se apoya en las Tecnologías TruPreventTM, un auténtico sistema global de alerta temprana formado por sensores estratégicamente distribuidos, que neutraliza nuevas amenazas y las envía a PandaLabs para su análisis en profundidad. De acuerdo con Av.Test.org, actualmente, PandaLabs es el laboratorio más rápido de la industria en proporcionar actualizaciones completas a los usuarios (más información en www.pandasoftware.es/pandalabs.asp/).

Más información sobre amenazas informáticas en la Enciclopedia de Panda Software:
www.pandaantivirus.com.ar/enciclopedia

Antivirus Online Gratis y Actualizado al día con la última tecnología:
www.ActiveScan.com.ar

Controle en el nivel de protección de su antivirus:
www.antiviruschecker.com.ar

Más definiciones técnicas sobre virus y malware:
www.pandaantivirus.com.ar/glosario

Descargas de aplicaciones gratuitas PQRemove desde Servidor de Argentina:
www.pandaantivirus.com.ar/solucionesinmediatas

Recursos Gratuitos para Webmasters:
www.pandaantivirus.com.ar/webmasters

Más información sobre las Tecnologías TruPreventTM en:
www.pandaantivirus.com.ar/truprevent

Fuente:
Panda Software

Panda Antivirus
Dast Informática S.R.L.
Distribuidor Mayorista Panda Software Argentina
www.pandaantivirus.com.ar

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática