Informe Semanal de Virus de Panda Software.

En el informe de hoy vamos a referirnos a dos gusanos -la variante J de Mimail y la E de Lohack-, y a un troyano denominado Banbra.B.

Mimail.J se difunde a través del correo electrónico en un mensaje cuyo asunto es “IMPORTANT” e incluye un fichero adjunto llamado w w w.paypal.com.pif. Como ya sucedía con la variante I de Mimail, recurre a técnicas de Ingeniería Social, ya que el e-mail en el que se envía alude al conocido sistema de pago PAYPAL, para así engañar a los usuarios y difundirse al mayor número de equipos.

Cuando se ejecuta, Mimail.J muestra en pantalla una imagen que simula ser la plantilla de entrada a una entidad bancaria. Después, recoge -en un fichero que crea- la información introducida por el usuario y la manda en un e-mail. En ordenadores con Windows Me/98/95 se ejecuta como un servicio para no aparecer en la lista del Administrador de tareas.

En todos los ficheros del ordenador al que afecta -y cuya extensión no sea: COM, WAV, CAB, PDF, RAR, ZIP, TIF, PSD, OCX, VXD, MP3, MPG, AVI, DLL, EXE, GIF, JPG y BMP-, Mimail.J busca direcciones de correo, y las guarda en el fichero el388.tmp. A su vez, este gusano se envía a todas las direcciones que encuentra, utilizando su propio motor SMTP, y se conecta a la dirección IP 212.5.86.163, que corresponde a un servidor de correo ruso.

Lohack.E, por su parte, es un gusano que se propaga a través del correo electrónico, de redes de ordenadores y del programa de intercambio de ficheros punto a punto (P2P) KaZaA. Para conseguirlo utiliza e-mails de contenido muy variable que, en muchos casos, aluden a la implantación de la Ley de Servicios de la Sociedad de la Información y el Correo Electrónico para atraer la atención de los usuarios. El mensaje también simula proceder de organizaciones fiables, como el Ministerio de Ciencia y Tecnología español o Panda Antivirus.

Para difundirse, Lohack.E se activa automáticamente con tan sólo ver el mensaje en el que se manda, a través de la Vista previa de Outlook. Para conseguirlo, aprovecha la vulnerabilidad -conocida como Exploit/Iframe- que afecta a las versiones 5.01 y 5.5 de Internet Explorer y permite la ejecución automática de los ficheros adjuntos a los mensajes de correo.

Finalizamos con Banbra.B, troyano que obtiene, en el equipo al que afecta, números de cuentas y contraseñas que el usuario utiliza para acceder a Internet Banking Caixa, Bradesco Internet Banking y Banco do Brazil. Igualmente, monitoriza las páginas web visitadas. En concreto, cuando se visita la página web de cualquiera de las entidades bancarias mencionas anteriormente, este código malicioso muestra una interfaz falsa, para así intentar que el usuario introduzca información confidencial. Tras lograr dichos datos, Banbra.B los envía a su creador a través de FTP.

Información adicional

– FTP (File Transfer Protocol): protocolo que permite la transferencia de ficheros a través de una conexión TCP/IP.

– Red: grupo de computadoras o dispositivos informáticos conectados entre sí a través de cable, línea telefónica, ondas electromagnéticas (microondas, satélite, etc.) con la finalidad de comunicarse y compartir recursos entre ellos.

Más definiciones técnicas relacionadas con los virus y los antivirus en el Glosario de Panda Software:
Enciclopedia de Virus de Panda Software

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática