Informe semanal de Panda Software sobre virus e intrusos.

Los troyanos ShotOne y Yabarasu, la familia de gusanos Rinbot y el virus Expiro.A protagonizan el informe de Pandalabs de esta semana.

Informe semanal de Panda Software sobre virus e intrusos.

El troyano ShotOne está diseñado para causar un gran número de problemas en los ordenadores que infecta.  Para ello, crea una larga lista de modificaciones en el registro del sistema.  Entre otros fallos impide que Windows se actualice o que se pueda acceder al menú Archivo tanto en Internet Explorer como en el Explorador de Windows.  Tampoco permite que se muestren las propiedades de “Mis Documentos” y “Mi PC”.

ShotOne también deshabilita algunas funciones como los menús que aparecen al pinchar con el botón derecho en la barra de tareas o el botón de inicio. Además, oculta todos los iconos del Área de Notificación e impide acceder a las opciones “ejecutar” y “buscar” del menú Inicio

Este troyano se ejecuta con cada inicio del sistema. Cuando lo hace, comienza a mostrar una serie de pantallas en el monitor, de forma que sea imposible utilizar esa máquina. Además, reinicia el ordenador infectado cada tres horas, si éste está encendido.

PandaLabs ha creado un video que muestra alguno de los fallos causados por este malware. Puede verse en esta dirección: http://www.pandasoftware.com/img/enc/ShotOne.wmv

El segundo troyano del informe es Yabarasu. Este código malicioso se ejecuta cada vez que se reinicia el sistema, mostrando una pantalla con un texto en inglés. 

Yabarasu se copia en el sistema. Para engañar al usuario, oculta la extensión de todos los archivos y el tooltip (el recuadro de información que aparece en Windows al poner el cursor sobre un archivo). Además, Yabarasu oculta todas las carpetas que el usuario tenga en la unidad C: y las sustituye por una copia de sí mismo con el mismo nombre e icono que las originales. De este modo, las copias del troyano parecen archivos legítimos. Cuando el usuario abra uno de esos archivos, realmente estará ejecutando el troyano.

Tanto ShotOne como Yabarasu pueden llegar a los ordenadores en correos electrónicos, en archivos descargados, copiados en dispositivos infectados, etc.

Esta semana PandaLabs ha detectado diferentes variantes de la familia de gusanos Rinbot, concretamente: Rinbot.B, Rinbot.F, Rinbot.G y Rinbot.H. Para propagarse, estos gusanos se copian en las unidades mapeadas y en los recursos compartidos de la red. También se copian en los dispositivos USB (reproductores MP3, móviles, llaves de memoria,…) que encuentren conectados a la máquina.

Algunas de las variantes, además, aprovechan vulnerabilidades existentes en ciertos programas para propagarse. Así, Rinbot.B aprovecha las vulnerabilidades LSASS y RPC DCOM para llegar a los ordenadores. Las actualizaciones para estos agujeros están disponibles desde hace tiempo.

Rinbot.G, por su parte, aprovecha un fallo en SQL Server para autentificarse como usuario. Una vez llega a un ordenador, este gusano descarga una copia de sí mismo vía TFTP. Luego, se ejecuta en el sistema.

Rinbot.H también aprovecha una vulnerabilidad para propagarse. En su caso, busca servidores que presenten la vulnerabilidad MS01-032, resuelta en el parche de Microsoft del mismo nombre.

Los gusanos Rinbot están diseñados para abrir un puerto en el ordenador infectado y conectarse a un servidor IRC. Así, el atacante podrá controlar ese ordenador de manera remota.

También se descarga de Internet el troyano Spammer.ZV. Este troyano está diseñado para enviar spam de manera masiva. Para ello, busca en el ordenador direcciones de correo electrónico a las que enviar los correos basura. Por último, modifica la configuración de seguridad de Internet Explorer y los permisos del sistema, lo que reduce el nivel de seguridad del ordenador.

Un aspecto curioso es que en el código del gusano Rinbot.B aparece el texto de una supuesta entrevista realizada por la CNN al autor o autores de esta familia de gusanos. En ella, explica los motivos por los que, según él, ha creado este malware. Puede leerla aquí.

“Este es uno de los aspectos más destacados de la nueva dinámica del malware. Los creadores de malware aumentan las posibilidades de infección lanzando un gran número de variantes en poco tiempo. Además, de esta manera evitan causar alarma social, lo que haría que los usuarios se protegiesen mejor. Algo que no interesa a esos ciber-delincuentes”, explica Luis Corrons. 

Expiro.A cierra el informe de esta semana. Se trata de un virus que infecta archivos ejecutables (.exe) que se encuentren en el directorio Archivos de programa / Program Files y sus subdirectorios. También infecta el directorio en el que se encuentre la copia del virus.

Cuando el usuario abre un archivo infectado, primero se ejecuta el virus y a continuación el archivo original. De esta forma se intenta confundir al usuario, que no detecta ningún síntoma visible de que haya sido infectado.

Expiro.A detiene sus procesos si sospecha que está siendo analizado por alguna solución de seguridad. Además, varias secciones del código malicioso están cifradas. El objetivo es el mismo: evitar ser detectado. 

Todos aquellos usuarios que deseen comprobar si su ordenador ha sido atacado por estos u otros códigos maliciosos pueden hacer uso, de manera completamente gratuita, de la solución online Panda ActiveScan en www.activescan.com.ar 

También pueden hacer uso de NanoScan beta (www.pandaantivirus.com.ar/nanoscan), un escáner online que detecta todo el malware activo en un ordenador en menos de un minuto.

Sobre PandaLabs

Desde 1990, tiene como misión analizar las nuevas amenazas lo antes posible para mantener seguros a nuestros clientes. Varios equipos especializados en cada tipo concreto de malware (virus, gusanos, troyanos, spyware, phishing, spam, etc.) trabajan 24×7 ofreciendo una cobertura global. Para ello, se apoya en las Tecnologías TruPreventTM, un auténtico sistema global de alerta temprana formado por sensores estratégicamente distribuidos, que neutraliza nuevas amenazas y las envía a PandaLabs para su análisis en profundidad. De acuerdo con Av.Test.org, actualmente, PandaLabs es el laboratorio más rápido de la industria en proporcionar actualizaciones completas a los usuarios. Más información en http://www.pandasoftware.es/pandalabs y en el blog de PandaLabs (http:/blogs.pandasoftware.com/pandalabs).

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática