Informe semanal de Panda Software sobre virus e intrusos

Dos gusanos -Bagle.BN y Mytob.A- y dos troyanos -Mitglieder.BO, y Tofger.AT- protagonizan el presente informe.

Informe semanal de Panda Software sobre virus e intrusosPara propagarse al mayor número de equipos posible, Bagle.BN y Mitglieder.BO colaboran estrechamente. Así, Mitglieder.BO llega a los equipos en un mensaje de correo electrónico, en forma de un fichero adjunto que puede tener nombres como price.zip o price2.zip, entre otros. Si el usuario ejecuta el archivo, el troyano se activará y tratará de conectarse a una dirección de Internet, desde la que descargar al gusano Bagle.BN en el sistema. Una vez que Bagle.BN se instala en el ordenador, se encarga de enviar a Mitglieder.BO a las direcciones que se encuentran en un fichero llamado EML.EXE, que también es descargado desde Internet. Para ello, el gusano utiliza su propio motor SMTP.

Mitglieder.BO finaliza los procesos pertenecientes a diversos programas antivirus y de seguridad, y sobrescribe el fichero de “hosts” de Windows, para impedir que los usuarios puedan conectarse a determinadas páginas web.

Bagle.BN, por su parte, abre el puerto TCP 80 y permanece a la escucha, a la espera de que se realice una conexión remota. A través de ella, permite el acceso remoto al computador afectado, para realizar en él acciones que comprometen la confidencialidad de los datos del usuario, o dificultan su trabajo.

El segundo gusano que mencionamos es Mytob.A, que se propaga a través del correo electrónico, en un mensaje de características variables y escrito en inglés, así como a través de Internet. En este caso, atacará direcciones IP aleatorias, en las que tratará de explotar la vulnerabilidad LSASS.

Mytob se conecta a un servidor IRC y espera órdenes de control remoto, que llevar a cabo en el ordenador afectado. Además, elimina algunas de las variantes de otros gusanos como, por ejemplo, Netsky, Sobig, Bagle y Blaster.

El siguiente código malicioso que analizamos es el troyano Tofger.AT, que es descargado en el PC al acceder a determinadas páginas web, que utilizan diversos exploits -como LoadImage, ByteVerify y MhtRedir.gen-, para descargar malware en los equipos. Este troyano se instala como Browser Helper Object (BHO), de forma que es ejecutado cada vez que se abre el navegador Internet Explorer.

Tofger.AT hace un seguimiento de las acciones que llevan a cabo los usuarios y de las contraseñas utilizadas en las páginas con conexiones seguras https, que suelen ser las que se emplean para validarse en sistemas seguros como entidades bancarias. Además, siempre que detecte determinados nombres en la url también intentará capturar las passwords de los siguientes bancos: cajamadrid, bpinet, millenniumbcp, hsbc, barclays, lloydstsb, halifax, autorize, bankofamerica; bancodevalencia, cajamar, portal.ccm, bancaja, caixagalicia, caixapenedes, ebankinter, caixasabadell, bes, banif, millenniumbcp, totta, bancomais, montepiogeral, bpinet, patagon, lacaixa, citibank, bbvanet, banesto, e-trade y unicaja. Tras recoger la información, Tofger.AT la envía a un servidor.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección:
www.pandaantivirus.com.ar/enciclopedia

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Más información sobre amenazas informáticas en la Enciclopedia de Panda Software:
www.pandaantivirus.com.ar/enciclopedia

Antivirus Online Gratis y Actualizado al día con la última tecnología:
www.ActiveScan.com.ar

Controle en el nivel de protección de su antivirus:
www.antiviruschecker.com.ar

Más definiciones técnicas sobre virus y malware:
www.pandaantivirus.com.ar/glosario

Descargas de aplicaciones gratuitas PQRemove desde Servidor de Argentina:
www.pandaantivirus.com.ar/solucionesinmediatas

Recursos Gratuitos para Webmasters:
www.pandaantivirus.com.ar/webmasters

Más información sobre las Tecnologías TruPreventTM en:
www.pandaantivirus.com.ar/truprevent


Fuente:
Panda Software

Panda Antivirus
Dast Informática S.R.L.
Distribuidor Mayorista Panda Software Argentina

www.pandaantivirus.com.ar

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática