Informe semanal de Panda Software sobre virus e intrusos.

Esta semana, en el informe sobre virus e intrusos hablaremos de un Backdoor, el llamado Beliu.A, y de dos gusanos: Mydoom.BN y Mytob.P.

Informe semanal de Panda Software sobre virus e intrusos.Beliu.A recibe la denominación de backdoor debido a que abre una “puerta trasera”, a través de la cual un atacante puede acceder al computador y llevar a cabo acciones maliciosas. Concretamente, Beliu.A se conecta al servidor de Internet liubei.8866.org, desde el cual un atacante puede controlarle para que realice acciones en el equipo infectado. Estas acciones son diversas, pudiendo descargar, mover y eliminar archivos, ejecutar comandos y cerrar procesos. Utiliza el puerto 8080 y el protocolo HTTP para conectarse al servidor mencionado, por lo tanto puede ser capaz de funcionar en redes protegidas mediante firewalls, ya que el puerto 8080 está generalmente abierto al tráfico.

Beliu.A suele llegar a través de un mensaje de correo con asunto “MOFCOM IPR Report-English Version!” y un documento adjunto nombrado “International IPR Conventions China Acceded to.doc”. Este documento de Word explota la vulnerabilidad MS01-028 para descargar los archivos http://81.27.111.103/ek/normal2.dot y http://81.27.111.103/ek/liu8080.exe, siendo este último el backdoor en cuestión.

El primer gusano al que vamos a referirnos es una nueva variante de MyDoom, concretamente Mydoom.BN. Este gusano se propaga por correo electrónico mediante su propio motor SMTP, y para enviarse busca direcciones de correo electrónico en la libreta de direcciones de Windows y en ficheros con diversas extensiones, como htm, xml, wml, asp o wab. Para no levantar sospechas, evita enviarse a direcciones cuyo nombre o dominio se encuentra en una lista interna.

El mensaje con el código malicioso puede tener varios asuntos distintos, entre los que destacan aquellos que pretenden engañar al usuario haciéndose pasar por un mensaje de error en la distribución de un mensaje, tales como “Mail Delivery System”, “Mail Transaction Failed” o “Server Report”.

Asimismo, el cuerpo del mensaje hace referencia a mensajes de error, tales como “Mail transaction failed. Partial message is available” o “The message contains Unicode characters and has been sent as a binary attachment”. El fichero adjunto, que contiene el virus, tiene un nombre entre una lista (“document”, “readme”, “doc”, “message”, etc.) y una extensión ejecutable de Windows (pif, scr, exe, cmd o bat).

El último ejemplar de este informe, Mytob.P, es un gusano con características de backdoor. Para propagarse, busca en la red en la que se encuentre recursos compartidos, cuyos usuarios ghayan utilizado contraseñas fácilmente adivinables. También emplea el correo electrónico para propagarse, enviando mensajes con un archivo adjunto y remitente falso. Las direcciones de correo las obtiene buscando en los archivos del ordenador que tengan diversas extensiones, tales como .htm, .php, .wab, etc.

Sin embargo, no se enviará a determinadas direcciones de correo electrónico, intentando con ello ser detectado rápidamente por determinados usuarios o empresas. Por ejemplo, evita enviarse a direcciones que contengas las cadenas “abuse”, “admin“, “gnu”, “ibm.com”, o “panda”.

El asunto de los mensajes puede ser un texto predeterminado (tal como “Error”, “Mail Delivery System”, “Mail Transaction Failed”, “Server Report” u otros), una cadena aleatoria o estar vacío. Y el cuerpo del mensaje hace referencia también a un error en un mensaje. El nombre del fichero adjunto se selecciona de una lista y la extensión, alguna de las ejecutables de Windows.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección: www.pandaantivirus.com.ar/enciclopedia

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia
de Panda Software:
www.pandaantivirus.com.ar/enciclopedia

Antivirus Online Gratis y Actualizado al día con la última tecnología:
www.ActiveScan.com.ar

Controle en el nivel de protección de su antivirus:
www.antiviruschecker.com.ar

Más definiciones técnicas en:
www.pandaantivirus.com.ar/glosario

Más información sobre las Tecnologías TruPrevent en:
www.pandaantivirus.com.ar/truprevent

Descargas de aplicaciones gratuitas PQRemove desde Servidor de Argentina:
www.pandaantivirus.com.ar/solucionesinmediatas

Noticias sobre Seguridad Informática:
www.pandaantivirus.com.ar/seguridadinformatica

Más información sobre las Tecnologías TruPrevent(TM) en:
www.pandaantivirus.com.ar/truprevent


Fuente:
Panda Software

Panda Antivirus
Dast Informática S.R.L.
Distribuidor Mayorista Panda Software Argentina

www.pandaantivirus.com.ar

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática