Informe semanal de Panda Software sobre virus e intrusos.

El informe de esta semana centra su atención en los troyanos Sinowal.CR, Briz.R. y en el gusano Sohanat.U.

Informe semanal de Panda Software sobre virus e intrusos.

Sinowal.CR está diseñado para recopilar información confidencial de los ordenadores afectados, tales como contraseñas y otros datos almacenados por Protected Storage, o clientes de correo electrónico como Ak-Mail, Eudora y The Bat, entre otros.

Además de lo anterior, Sinowal.CR, también obtiene datos de las máquinas a las que afecta, como dirección IP, nombre, área geográfica donde se encuentra, puertos abiertos, etc. Posteriormente, el propio troyano se encarga de enviar la información robada a determinados servidores de Internet.
 
Al igual que la mayoría de los troyanos, Sinowal.CR no puede propagarse automáticamente, sino que precisa de la intervención de un usuario malicioso. Así, puede ser encontrado en disquetes o CD-ROMs infectados, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencias de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.

Por su parte, Briz.R es un troyano muy peligroso, ya que está diseñado para permitir a un delincuente el control remoto de los ordenadores afectados, así como para redirigir a los usuarios hacia falsas páginas web diseñadas para robar datos confidenciales. El origen de este código malicioso se encuentra en la trama de venta y creación de troyanos personalizados Briz que PandaLabs descubrió y desmanteló hace unos meses.

El ataque de Briz.R comienza con la instalación de un archivo llamado iexplore.exe, que tiene como misión comprobar si existe conexión a Internet. En caso positivo, descarga otro archivo llamado ieschedule.exe, que permite almacenar parámetros de configuración del troyano, como puede ser el número del puerto por el que enviará la información robada.

Otro de los componentes descargados es ieserver.exe, que es el encargado de crear un servidor web en el equipo. La función de este servidor web es la de redirigir al usuario hacia páginas web falsificadas -diseñadas para robar datos personales- cada vez que intente acceder a ciertas de direcciones de Internet, muchas de ellas correspondientes a servicios financieros online. En caso de que el usuario introduzca datos en las páginas falsas, el troyano robará y enviará los datos al delincuente. Este servidor web también permite el control remoto del ordenador afectado, a través de la instalación de una aplicación programada en PHP llamada phpRemoteView.

Además, Briz.R también modifica el archivo hosts del sistema, de manera que impide el acceso a un gran número de páginas web relacionadas con seguridad informática.
 
Finalmente, Sohanat.U es un gusano que se propaga a través de programas de mensajería instantánea como Yahoo Messenger, AIM o Windows Live Messenger, entre otros. Para ello, envía mensajes como "Download free MP3s”, incluyendo un link que, al ser pulsado, descarga una copia del gusano en el ordenador.

Una vez en el equipo, el gusano desactiva procesos correspondientes a algunas aplicaciones de seguridad. Además, modifica la página de inicio de Internet Explorer para que apunte a cierta  dirección de Internet.

Sohanat.U también desactiva el acceso al Administrador de Tareas de Windows, así como al programa regedit.exe. Con ello, trata de impedir que el usuario pueda eliminarle de su ordenador.

Más información sobre estas u otras amenazas informáticas en la Enciclopedia de Panda Software

Sobre PandaLabs

Desde 1990, tiene como misión analizar las nuevas amenazas lo antes posible para mantener seguros a nuestros clientes. Varios equipos especializados en cada tipo concreto de malware (virus, gusanos, troyanos, spyware, phishing, spam, etc.) trabajan 24×7 ofreciendo una cobertura global. Para ello, se apoya en las Tecnologías TruPreventTM, un auténtico sistema global de alerta temprana formado por sensores estratégicamente distribuidos, que neutraliza nuevas amenazas y las envía a PandaLabs para su análisis en profundidad. De acuerdo con Av.Test.org, actualmente, PandaLabs es el laboratorio más rápido de la industria en proporcionar actualizaciones completas a los usuarios (más información en www.pandasoftware.es/pandalabs.asp/).

Fuente:
Panda Software

Panda Antivirus
Dast Informática S.R.L.
Primer Distribuidor Mayorista
Panda Software Argentina
www.pandaantivirus.com.ar

Resellers Certificados y Activos para comercializar en Argentina:
www.pandaantivirus.com.ar/distribuidores

Panda ActiveScan TM Antivirus Online Gratis y Actualizado al día con la última tecnología:
www.ActiveScan.com.ar

Recursos Gratuitos para Webmasters:
www.pandaantivirus.com.ar/webmasters

Certificación como Reseller Autorizado:
www.pandaantivirus.com.ar/resellers

Renovación de servicios monopuestos y corporativos:
www.pandaantivirus.com.ar/renovaciones

Registración Online de Productos/Servicios Panda Software:
www.pandaantivirus.com.ar/registraciononline

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática