Informe semanal de Panda Software sobre virus e intrusos.

El informe de PandaLabs de esta semana da información sobre dos troyanos, Therat.B y Alanchum.UG, un backdoor Redirection.A y un gusano, TellSky.A.

Informe semanal de Panda Software sobre virus e intrusos.

Therat.B puede llegar a los ordenadores en correos electrónicos, como parte de descargas, etc. Es un troyano keylogger, que, como todos los de este tipo, está diseñado para registrar las teclas pulsadas por los usuarios. Además, Therat.B cuenta con una funcionalidad que lo hace muy peligroso: es capaz de robar las contraseñas que estén almacenadas en la función “autocompletar” del navegador de Internet del usuario.

La función “autocompletar” permite que, introduciendo sólo uno o dos caracteres de un nombre de usuario o contraseña en un formulario web, el sistema complete el resto de manera automática. El objetivo de Therat.B es hacerse con nombres de usuario, contraseñas, direcciones de páginas web, etc. A continuación, el troyano envía esa información a su creador a través de correo electrónico.

Therat.B realiza ciertas modificaciones en el sistema para ejecutarse cada vez que éste se inicia.

“Este es un claro ejemplo de la unión de diversas funcionalidades en un sólo malware. En este caso, se han reunido distintas formas de robar datos confidenciales en un único troyano. Así, en cada infección lograda los ciber-delincuentes exploran diversas formas de robo, aumentando sus posibilidades de éxito”, explica Luis Corrons, Director Técnico de PandaLabs.

Alanchum.UG es un nuevo ejemplar de la familia Alanchum, una de las más activas de los últimos meses. Esta variante, en concreto, llega a los ordenadores descargada por otros códigos maliciosos, como el adware CWS.

Mediante una modificación en el registro de Windows, consigue ejecutarse con cada reinicio del sistema. Alanchum.UG está diseñado para enviar spam de forma masiva. Para ello, roba todas las direcciones de correo electrónico que encuentra en los ordenadores que infecta. Luego, almacena todas esas direcciones en una página web.

Para dificultar su detección, este troyano cuenta con funcionalidades rootkit, que le permiten ocultar sus procesos.

Redirection.A es el tercer código malicioso del informe. Como todos los ejemplares de backdoor, abre una puerta trasera en el ordenador infectado. En este caso, para conectarse a un servidor IRC y permitir el control del ordenador afectado.

Este malware lleva a cabo otras acciones maliciosas. Así, intenta obtener información del sistema infectado (IP, características,…). Además, activa un servidor FTP para permitir la descarga y ejecución de otros ficheros maliciosos en el ordenador afectado.

Redirection.A, además, está diseñado para escanear rangos de IP en busca de ordenadores que tengan instalados el programa VNC. Este programa permite controlar un ordenador de manera remota. Si encuentra algún sistema con este software instalado, Redirection.A aprovechará sus características para instalarse también en ese sistema.

Este backdoor también es capaz de desinstalarse a sí mismo. Para ello, borra las entradas más relevantes que haya creado en el registro del sistema. De esta manera, oculta su presencia y hace más difícil su detección.

El gusano TellSky.A cierra el informe. Este malware se copia en el disco duro con nombres como Girl.exe o Downloader.exe, entre otros. Además, realiza varias modificaciones en el registro de Windows para ejecutarse con cada reinicio.

La primera vez que se ejecuta, este gusano muestra un mensaje de error. Dicho mensaje es un modo de distraer al usuario, ya que, a la vez, TellSky.A está realizando varias acciones maliciosas. Entre ellas, impide el correcto funcionamiento de las soluciones de seguridad instaladas en los ordenadores infectados. Luego, intenta conectarse a una página web, desde la que podría descargarse otros archivos.

TellSky.A deshabilita varias funciones del sistema como la opción Ejecutar, del menú Inicio, o las opciones de carpeta.  La mayoría de estas modificaciones están destinadas a reducir la seguridad o a bloquear funciones que podrían emplearse para localizarlo. 

Los usuarios que deseen comprobar si algún código malicioso ha atacado su ordenador pueden utilizar, de manera completamente gratuita, la solución online TotalScan en www.pandaantivirus.com.ar/totalscan.

También pueden hacer uso de NanoScan beta (www.pandaantivirus.com.ar/nanoscan), un escáner online que detecta todo el malware activo en un ordenador en menos de un minuto.

Fuente:
Panda Software

Panda Antivirus
Dast Informática S.R.L.
Primer Distribuidor Mayorista
Panda Software Argentina
www.pandaantivirus.com.ar

Resellers Certificados y Activos para comercializar en Argentina:
www.pandaantivirus.com.ar/distribuidores

Panda ActiveScan TM Antivirus Online Gratis y Actualizado al día con la última tecnología:
www.ActiveScan.com.ar

Recursos Gratuitos para Webmasters:
www.pandaantivirus.com.ar/webmasters

Certificación como Reseller Autorizado:
www.pandaantivirus.com.ar/resellers

Renovación de servicios monopuestos y corporativos:
www.pandaantivirus.com.ar/renovaciones

Registración Online de Productos/Servicios Panda Software:
www.pandaantivirus.com.ar/registraciononline

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática