Informe semanal de Panda Software sobre virus e intrusos.

Cinco gusanos -Zafi.D, Atak.H, Atak.I, Atak.J y Janx.A-, y el troyano HideProc.B protagonizan el presente informe.

Informe semanal de Panda Software sobre virus e intrusos.A principios de esta semana, Zafi.D se difundió rápidamente a un gran número de equipos, en mensajes de correo electrónico de características variables, que se hacían pasar por felicitaciones navideñas.

Es un gusano multilingüe, ya que es capaz de adaptar el idioma del texto que aparece en el e-mail en el que se manda, en función del dominio de la dirección a la que se envía. Además, Zafi.D puede propagarse a través de programas de intercambio de archivos punto a punto (P2P).

Zafi.D tiene características de backdoor, ya que abre el puerto 8181 y espera que un archivo – que generalmente es otro ejemplar de malware – sea transferido para, a continuación, ejecutarlo. Asimismo, impide el acceso a aquellas aplicaciones que contengan las cadenas de texto regedit, msconfig y task. Tras afectar un PC, Zafi.D muestra en pantalla un mensaje de error.

Como Zafi.D, las variantes H, I y J de Atak también se propagan a través de correo electrónico, en mensajes que simulan ser felicitaciones navideñas. Llegan a los equipos en e-mails cuyo asunto es “Merry X-Mas!” o “Happy New Year!”, mientras que en el cuerpo del mismo puede leerse “Happy New year and wish you good luck on next year!”, o “Mery Chrismas & Happy New Year! 2005 will be the beginning!”.

Los mensajes en los que se envían Atak.H, Atak.I y Atak.J incluyen un archivo adjunto en formato .zip que, a su vez, contiene un fichero que puede tener por nombre bat, com, pif o scr. Si el usuario lo ejecuta, los gusanos generan copias de sí mismos en el directorio de sistema de Windows con el nombre dec25.exe. Al mismo tiempo, se envían -utilizando su propio motor SMTP-, a todas las direcciones que encuentran en ficheros con determinadas extensiones que estén almacenados en el ordenador.

Las tres citadas variantes de Atak son muy similares, y sólo se diferencian en aspectos como el tamaño del fichero adjunto que tienen los mensajes de correo infectados. Por otra parte, debido a un fallo de programación, Atak.J es incapaz de enviarse.

El quinto gusano al que nos referimos hoy es Janx.A, que se propaga a través de Internet aprovechándose para ello de la vulnerabilidad LSASS. En concreto, se difunde de manera automática en los equipos que tengan instalado Windows XP/2000, y no hayan sido convenientemente actualizados. En los restantes sistemas operativos de Windows también funciona, si el archivo que lo contiene es ejecutado.

Janx.A se conecta a un servidor de IRC, y espera órdenes de control que llevar a cabo en el ordenador al que ha afectado. Además, instala un servidor FTP en el puerto 5533.

El troyano que analizamos en el presente informe es HideProc.B, que no se propaga automáticamente por sus propios medios, ya que para conseguirlo precisa la intervención de un atacante. HideProc.B consiste en una DLL (Librería de Enlace Dinámico), que es utilizada por otro ejemplar de malware para ocultar la ejecución de hasta dos procesos distintos.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección:
www.pandaantivirus.com.ar/enciclopedia

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia
de Panda Software:
www.pandaantivirus.com.ar/enciclopedia

Antivirus Online Gratis y Actualizado al día con la última tecnología:
www.ActiveScan.com.ar

Controle en el nivel de protección de su antivirus:
www.antiviruschecker.com.ar

Más definiciones técnicas en:
www.pandaantivirus.com.ar/glosario

Más información sobre las Tecnologías TruPrevent en:
www.pandaantivirus.com.ar/truprevent

Descargas de aplicaciones gratuitas PQRemove desde Servidor de Argentina:
www.pandaantivirus.com.ar/solucionesinmediatas


Fuente:
Panda Software Argentina
Analia Peñas
Comunicación y Marketing Argentina

Panda Antivirus
Dast Informática S.R.L.
Distribuidor Mayorista Panda Software Argentina

www.pandaantivirus.com.ar

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática