Informe Semanal de Panda Software de Virus e Intrusos

El presente informe se caracteriza por la variedad y gran cantidad de ejemplares de los que se ocupa, concretamente tres gusanos -P2load.A, Mytob.JN y Bagle.EI-, un ejemplar de spyware -Spytrooper-, tres troyanos – Fantibag.A, Banker.APM y Mitglieder.EV-, y una herramienta de hacking -Keyspy.B-.

Informe Semanal de Panda Software de Virus e Intrusos

P2load.A es un gusano que se propaga a través de los programas de intercambio de archivos punto a punto (P2P) Shareaza e Imesh. En los equipos que afecta lleva a cabo varias acciones, siendo la más destacable la modificación del fichero HOSTS para que cuando el usuario solicite visitar la página de Google sea redireccionado a otra página, exactamente igual que la de Google, pero ajena a la compañía, alojada en un servidor en Alemania. La copia de la página de Google es exacta a la legítima, e incluye soporte para 17 idiomas de Google.

En la práctica, cuando el usuario desee llevar a cabo una búsqueda en la citada falsa página de Google, los resultados que obtenga se mostrarán correctamente o con ligeras variaciones respecto a cómo los mostraría Google. Lo que sí cambia son los “enlaces patrocinados” que, en un uso normal, aparecen en la parte alta de los resultados y corresponden a aquellas compañías que pagan por este servicio. En su lugar, con determinadas búsquedas, los usuarios cuyos equipos hayan resultado afectados por P2load verán otras, especificadas por el creador del malware, con el aumento de tráfico que supone para estas páginas.

El segundo gusano al que nos referimos hoy es Mytob.JN, que se propaga a través del correo electrónico en un mensaje escrito en inglés y de características variables. Mytob.JN abre un puerto TCP para conectarse a un servidor y recibir órdenes de control remoto que llevar a cabo en el PC afectado. Además, este gusano finaliza procesos pertenecientes a diversas herramientas de seguridad -como, por ejemplo, programas antivirus y cortafuegos, entre otros-, y procesos pertenecientes a otros ejemplares de malware, al tiempo que impide el acceso a determinadas páginas pertenecientes, sobre todo, a compañías antivirus.

El tercer y último gusano del presente informe es Bagle.EI, que destaca porque envía una copia de una variante del troyano Mitglieder a todas las direcciones de correo electrónico que no contengan determinadas cadenas de texto y que consigue recoger de determinadas web. Asimismo, este ejemplar de malware evita que algunas variantes de Netsky se ejecuten cuando se inicia Windows.

Tras los gusanos, este informe centra su atención en Spytrooper, malware de tipo adware que es descargado automáticamente cuando se visitan sitios con contenido para adultos o páginas web de software pirateado, que utilizan exploits para afectar ordenadores. Igualmente puede ser descargado después de que aparezca una ventana emergente en pantalla, alertando de la presencia de spyware en el ordenador, o si el usuario lo descarga voluntariamente de una determinada página web.

Spytrooper advierte al usuario de que su equipo se encuentra afectado por amenazas -que realmente no existen-, al tiempo de que le informa de que únicamente pueden ser eliminadas después de adquirir la versión completa del programa. Cuando se compra la citada versión de Spytrooper y se registra, las "presuntas" amenazas dejan de ser detectadas y el ordenador queda "supuestamente" limpio.

El primer troyano que analizamos es Fantibag.A, que impide el acceso a una serie de sitios web, que en su mayoría pertenecen a compañías antivirus. Para conseguirlo, utiliza un método basado en el empleo de funciones API correspondientes a RRAS (Routing and Remote Access Service), que proporcionan capacidades de filtrado de paquetes.

Banker.APM, por su parte, es un troyano que tiene como objetivo la obtención de información confidencial -como contraseñas-, para después enviarla a su autor. Para conseguirlo intenta redirigir los sitios web correspondientes a varias entidades bancarias hacia un determinado servidor que alberga páginas que imitan las originales, para que el usuario proporcione datos personales cuando las visite.

El tercer troyano que mencionamos es Mitglieder.EV, que ataca determinadas herramientas de seguridad como, por ejemplo, programas antivirus y cortafuegos pertenecientes a diversas compañías. En concreto, borra archivos fundamentales para su funcionamiento y entradas del Registro de Windows que les permiten ejecutarse automáticamente, detiene los servicios asociados y finaliza los procesos asociados a los programas que proveen actualizaciones de antivirus.

Terminamos el presente informe con una herramienta de hacking denominada Keyspy.B, que registra las pulsaciones de teclado realizadas en el equipo al que afecta, almacenándolas en un archivo que posteriormente es enviado a través del correo electrónico. Además, puede ejecutar o parar la ejecución de cualquier programa y monitorizar las páginas web a las que se accede.

Antivirus Online Gratis y Actualizado al día con la última tecnología:
www.ActiveScan.com.ar

Controle en el nivel de protección de su antivirus:
www.antiviruschecker.com.ar

Más definiciones técnicas sobre virus y malware:
www.pandaantivirus.com.ar/glosario

Descargas de aplicaciones gratuitas PQRemove desde Servidor de Argentina:
www.pandaantivirus.com.ar/solucionesinmediatas

Recursos Gratuitos para Webmasters:
www.pandaantivirus.com.ar/webmasters

Más información sobre las Tecnologías TruPreventTM en:
www.pandaantivirus.com.ar/truprevent


Fuente:
Panda Software

Panda Antivirus
Dast Informática S.R.L.
Distribuidor Mayorista Panda Software Argentina

www.pandaantivirus.com.ar

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática