Informe semanal de Panda Software sobre virus e intrusos

El presente informe semanal de Panda Software se ocupa de los troyanos Clagge.B y Rizalof.HT así como del spyware Zcodec.

Informe semanal de Panda Software sobre virus e intrusos

MADRID, 1 de septiembre de 2006

Clagge.B es un troyano de tipo downloader que, cuando es ejecutado, queda residente en memoria. Hace las modificaciones necesarias en el registro de Windows para poder evitar el control del firewall y poder ejecutar código malicioso. Tras esto, se conecta a cierta dirección de Internet, desde donde descarga el archivo llamado suhoy341.exe, perteneciente al troyano Trj/Banker.CZI,. diseñado para robar información bancaria de los usuarios.

Al igual que la mayoría de los troyanos, Clagge.B no puede propagarse por sí mismo sino que necesita de la intervención de usuarios maliciosos que lo hagan de forma manual. Así, puede encontrarse en archivos descargados de Internet, en redes P2P (peer-to-peer), adjunto a mensajes de correo electrónico, etc.

Por su parte, Rizalof.HT es un troyano que crea un servidor proxy anónimo en los ordenadores afectados de manera que puedan ser utilizados para el envío de spam. Para ello, cuando es ejecutado, se conecta con un servidor desde el que descarga otros componentes y los instala en el sistema. Uno de ellos sirve precisamente para enviar spam. Además, intenta finalizar procesos de seguridad y actualización de Windows.

Finalmente, el spyware Zcodec se incluye en un programa que supuestamente instala en el ordenador los codecs necesarios para poder reproducir un determinado formato multimedia. Una vez en el sistema, el primer paso es la instalación en el sistema de un rootkit (es decir, un programa diseñado para ocultar procesos, ficheros o entradas en el registro de Windows), de manera que el usuario no pueda ver los archivos que se encuentran en ejecución. De esta manera, Zcodec instala dos ficheros ejecutables. El primero de ellos modifica la configuración DNS del equipo afectado de forma que, cuando el usuario pulsa sobre algún resultado obtenido en motores de búsqueda como Google, la página a la que accede no es la deseada, sino otra distinta. Con esta táctica, el autor o autores del programa pueden conseguir importantes beneficios económicos a través de sistemas de pago por click e, incluso, dirigir al usuario a páginas web diseñadas para robar datos confidenciales.

El segundo archivo ejecutable puede tener dos acciones distintas, si bien realiza cada una de forma aleatoria. En algunas ocasiones instala en el sistema al troyano Ruins.MB, diseñado para descargar otros programas maliciosos en el equipo. Otras veces, dicho archivo lanza continuamente un programa de casinos, pidiendo permiso al usuario para continuar con la instalación del mismo. Sin embargo, aunque el usuario rehúse la instalación de dicho programa de casinos, se crea un icono en el escritorio de Windows que, cuando es pulsado, continúa con la instalación de dicho programa.

Para ayudar al mayor número de usuarios a analizar y/o desinfectar puntualmente sus equipos, Panda Software ofrece gratuitamente -en http://www.pandasoftware.es/home/default.asp – la solución antimalware online Panda ActiveScan, que ahora también detecta spyware. Además, los webmasters pueden ofrecer este mismo servicio a los visitantes de sus páginas web mediante la inclusión de un código HTML que pueden obtener gratuitamente en:

http://www.pandasoftware.es/partners/webmasters/

Más información sobre estas u otras amenazas informáticas en la Enciclopedia de Panda Software

Fuente:
Panda Software

Panda Antivirus
Dast Informática S.R.L.
Primer Distribuidor Mayorista
Panda Software Argentina
www.pandaantivirus.com.ar

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática