Informe semanal de Panda Software sobre virus e intrusos.

El informe de esta semana se ocupa de los gusanos Netsad.D y Nuwar.A, así como del backdoor Nixfed.A.

Informe semanal de Panda Software sobre virus e intrusos.

El gusano Netsad.F utiliza un sistema ya clásico para evitar su detección: finaliza procesos pertenecientes a diversas herramientas de seguridad. Con esta técnica, muchos códigos pretenden no solo no ser detectados, sino dejar al ordenador del usuario afectado sin defensas contra otras amenazas. Además, hace cambios en la configuración del sistema para que el usuario no pueda acceder a numerosas páginas web de fabricantes de programas de seguridad.

Para propagarse, Netsad.F emplea dos sistemas distintos. Por un lado, el correo electrónico, mandándose a sí mismo en mensajes que aparentan provenir de yahoo.com, falseando la dirección del remitente real. Los asuntos de los mensajes son o bien llamadas a la curiosidad del usuario (“classroom test of you?”, “I have your password!”, “old photos about you?”, etc) o bien mensajes que aparentan ser comunicaciones sobre algún error del sistema (“Deliver Error”, “Deliver Mail”, “Delivery Failure”, etc). El código del gusano se encuentra almacenado en un fichero adjunto al mensaje, cuyo nombre también varía, como por ejemplo MAIL.PIF, PANDA.EXE, README.HTML.CMD, etc.

Además de por correo electrónico, este gusano intenta propagarse a través de redes P2P. Para ello, introduce una copia del código en los directorios compartidos de Emule, KaZaA o Morpheus con nombres que inciten a usuarios de estos sistemas a su descarga (“FunGame.flash.exe”, “PasswordFinder.exe”, “pornoPic.scr”, etc).

Similares acciones ejecuta el gusano Nuwar.A para pasar desapercibido, aunque con menor efectividad. Si Netsad.F es capaz de eliminar de memoria más de 350 procesos distintos, Nuwar.A no llega siquiera a 15. En cambio, en el correo electrónico con el que se propaga utiliza muchas más direcciones falsas, y con más dominios que el único empleado por Netsad.F.

El asunto del mensaje de propagación siempre atañe a un tema relacionado con la política, haciendo mención a la tercera guerra mundial o a los presidentes Bush o Putin.

Por último, en este informe vamos a centrar la atención en el backdoor Nixfed.A. Este programa, una vez instalado en el sistema, deja abierta la posibilidad de que el ordenador sea controlado por un tercero sin que el usuario se de cuenta. Entre las acciones que puede llevar a cabo este backdoor, están:

• Registrar las pulsaciones de teclado introducidas por el usuario.
• Realizar capturas de pantalla.
• Transferir archivos.
• Reiniciar y/o apagar el ordenador.
• Iniciar una sesión de chat con el ordenador afectado.
• Abrir la bandeja de la unidad de CD-ROM.
• Establecer una clave para iniciar la conexión en ese ordenador.
• Controlar el tráfico de red generado.
• Registrar las acciones realizadas en el sistema.
• Ejecutarse con cada inicio de sesión.
• Deshabilitar el Administrador de Tareas.

Nixfed.A supone un elevado peligro para los usuarios infectados, ya que todas las acciones que lleve a cabo pueden ser vigiladas, incluso aquellas más confidenciales como las transacciones bancarias.

Todos estos códigos maliciosos reseñados son detectados por las Tecnologías TruPrevent™ de Panda Software son necesidad de conocerlos previamente. Así, cualquier usuario de Panda Software ha estado protegido contra estas intrusiones desde el primer momento.

No obstante, todos aquellos usuarios que deseen comprobar si su ordenador ha sido atacado por estos u otros códigos maliciosos pueden hacer uso, de manera completamente gratuita de la solución ActiveScan en la dirección www.activescan.com.ar . Con él podrá llevarse a cabo una inspección completa y sin coste alguno de cuantos elementos del sistema deseen verificarse ante la sospecha de una infección.

Sobre PandaLabs

Desde 1990, tiene como misión analizar las nuevas amenazas lo antes posible para mantener seguros a nuestros clientes. Varios equipos especializados en cada tipo concreto de malware (virus, gusanos, troyanos, spyware, phishing, spam, etc.) trabajan 24×7 ofreciendo una cobertura global. Para ello, se apoya en las Tecnologías TruPreventTM, un auténtico sistema global de alerta temprana formado por sensores estratégicamente distribuidos, que neutraliza nuevas amenazas y las envía a PandaLabs para su análisis en profundidad. De acuerdo con Av.Test.org, actualmente, PandaLabs es el laboratorio más rápido de la industria en proporcionar actualizaciones completas a los usuarios (más información en www.pandasoftware.es/pandalabs.asp/).

Fuente:
Panda Software

Panda Antivirus
Dast Informática S.R.L.
Primer Distribuidor Mayorista
Panda Software Argentina
www.pandaantivirus.com.ar

Resellers Certificados y Activos para comercializar en Argentina:
www.pandaantivirus.com.ar/distribuidores

Panda ActiveScan TM Antivirus Online Gratis y Actualizado al día con la última tecnología:
www.ActiveScan.com.ar

Recursos Gratuitos para Webmasters:
www.pandaantivirus.com.ar/webmasters

Certificación como Reseller Autorizado:
www.pandaantivirus.com.ar/resellers

Renovación de servicios monopuestos y corporativos:
www.pandaantivirus.com.ar/renovaciones

Registración Online de Productos/Servicios Panda Software:
www.pandaantivirus.com.ar/registraciononline

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática