Informe semanal de Panda Software sobre virus e intrusos.

Tres gusanos -Bropia.A, Zar.A y Mydoom.AE-, y Gaobot.batch centran la atención del presente informe.

Informe semanal de Panda Software sobre virus e intrusos.Bropia.A se difunde a través de MSN Messenger. Para ello, busca la citada aplicación intentando localizar una ventana registrada con el nombre IMWindowClass y, si la encuentra, se enviará con uno de los siguientes nombres: Drunk_lol.pif, Webcam_004.pif, sexy_bedroom.pif, naked_party.pif y love_me.pif.

Tras ser ejecutado, Bropia.A busca -en %systemdir%- ficheros con los siguientes nombres: adaware.exe, VB6.EXE, lexplore.exe y Win32.exe. Si no existen, crea un archivo que contiene una copia de una variante de Gaobot. Además, Bropia.A genera varios ficheros vacíos en la ruta %systemdir% y los abre, para evitar que puedan ejecutarse los procesos taskmgr.exe y cmd.exe. Asimismo, Bropia.A desactiva la combinación de teclas CTRL+ALT+Sup, y la posibilidad de activar el botón derecho del ratón.

Zar.A, por su parte, se propaga a través del correo electrónico, en un mensaje escrito en inglés que alude al tsunami que asoló Asia en diciembre de 2004. En concreto, en el asunto y en el cuerpo del e-mail en el que se manda solicita ayuda para las víctimas, al tiempo que incluye un fichero denominado TSUNAMI.EXE. Cuando el citado archivo es ejecutado, el ordenador queda afectado por Zar.A que, utilizando MAPI, envía una copia suya a todas las direcciones que encuentra en la Libreta de Direcciones de Outlook.

En el equipo al que afecta, Zar.A crea tres archivos y genera una entrada en el Registro de Windows, para así ejecutarse cada vez que el equipo se inicia. Además, este gusano intenta lanzar ataques de Denegación de Servicio (DoS), contra el sitio web w w w.hacksector.de.

El siguiente gusano al que nos referimos es Mydoom.AE, que se difunde a través del correo electrónico, en un mensaje de características variables escrito en inglés, y de programas de intercambio de archivos punto a punto (P2P).

Tras afectar un ordenador, Mydoom.AE lleva a cabo las siguientes acciones:

– Abre el programa Notepad y muestra un texto, que consiste en caracteres que elige aleatoriamente.

– Modifica el archivo HOSTS, lo que impide acceder a las páginas web de determinadas compañías antivirus. A su vez, finaliza los procesos correspondientes a diversos programas antivirus, lo que deja al ordenador vulnerable al ataque de otros ejemplares de malware.

– Finaliza los procesos pertenecientes a malware.

– Intenta descargar un archivo de Internet.

Finalizamos el informe de hoy mencionando a Gaobot.batch, que es un archivo de proceso por lotes que borra el archivo original del gusano Gaobot, una vez que éste ha sido instalado en el ordenador.

Información adicional

– Ficheros de proceso por lotes (Batch): archivos que tienen extensión BAT y permiten automatizar operaciones.

– MAPI (Messaging Application Program Interface): sistema empleado para que los programas puedan enviar y recibir correo electrónico mediante un sistema de mensajería concreto.

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.


Para más información:

Analia Peñas
Comunicacion y Marketing
PANDA SOFTWARE ARGENTINA

Más información sobre amenazas informáticas en la Enciclopedia de Panda Software:
www.pandaantivirus.com.ar/enciclopedia

Antivirus Online Gratis y Actualizado al día con la última tecnología:
www.ActiveScan.com.ar

Controle en el nivel de protección de su antivirus:
www.antiviruschecker.com.ar

Más definiciones técnicas sobre virus y malware:
www.pandaantivirus.com.ar/glosario

Más información sobre las Tecnologías TruPrevent en:
www.pandaantivirus.com.ar/truprevent

Descargas de aplicaciones gratuitas PQRemove desde Servidor de Argentina:
www.pandaantivirus.com.ar/solucionesinmediatas

Recursos Gratuitos para Webmasters:
www.pandaantivirus.com.ar/webmasters


Panda Antivirus
Dast Informática S.R.L.
Distribuidor Mayorista Panda Software Argentina

www.pandaantivirus.com.ar

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática