Informe semanal sobre virus

Tres gusanos – denominados Gruel.E, Gruel.F y Cuydoc – centran la atención del presente informe sobre virus.

Las variantes “E” y “F” de Gruel se propagan a través del correo electrónico y del programa de intercambio de ficheros punto a punto (P2P) KaZaA. Además, ambos comparten las siguientes características:

– Son altamente destructivos, ya que eliminan numerosos ficheros de Windows (como “AUTOEXEC.BAT” y “CONFIG.SYS”), que son fundamentales para el correcto funcionamiento del equipo.

– Realizan, entre otras, las siguientes acciones en el ordenador al que afectan: abren varias ventanas del Panel de control; cierran la bandeja de la unidad de CD-ROM; desactivan la Barra de tareas y la hacen desaparecer; ocultan la unidad C:, impiden realizar búsquedas de ficheros; etc.

– Tras realizar la infección, muestran en pantalla un texto que simula ser un mensaje de error de Windows.

– Crean varias entradas en el Registro de Windows, con diferentes valores -dependiendo de si se ha reiniciado o no-, con el objetivo de activarse cada vez que se ejecute un fichero de extensión “EXE”, “COM”, “BAT”, “PIF”, “HTA” o de tipo HyperTerminal de Windows.

La principal diferencia entre la variante “E” y la “F” de Gruel es el nombre del archivo adjunto en el que se envían por correo electrónico. En el caso de Gruel.E, el nombre del fichero es: “OFFICEXPTRIAL.EXE”, mientras que en Gruel.F se denomina “PROTECT_REMOVE_TOOL.EXE”.

El tercer gusano al que nos referimos hoy es Cuydoc que, además de difundirse por los medios habitualmente empleados por los virus, lo hace a través de la disquetera. En concreto, en los ordenadores con sistemas operativos Windows Me/98/95 en castellano lleva a cabo una copia automática de sí mismo -con el nombre “CUPIDO.EXE”- en el disco que encuentre disponible en la disquetera.

Cuydoc es un gusano dañino, ya que borra todos los documentos de Word (que son los ficheros con extensión “DOC”) que encuentra en el directorio “Mis Documentos” del equipo al que ha afectado. Además, en ordenadores con Windows Me/98/95 en castellano, evita la ejecución del programa “REGEDIT.EXE”, que permite la edición de las entradas del Registro de Windows, y de “MSCONFIG.EXE”, que posibilita la configuración de las aplicaciones que se cargan al iniciar el sistema operativo.

Más información sobre estos u otros códigos maliciosos en la Enciclopedia de Virus de Panda Software, disponible en la dirección: http://www.pandasoftware.es/virus_info/enciclopedia/

Información adicional

– Directorio/carpeta: divisiones, secciones (no físicas) mediante las cuales se estructura y organiza la información guardada en un disco. Pueden contener ficheros y otros directorios (sub-directorios o sub-carpetas).

– Registro de Windows (Registry): archivo que almacena todos los valores de configuración e instalación de los programas que se encuentran instalados y de la propia definición del sistema operativo Windows.

Más definiciones técnicas relacionadas con los virus y los antivirus en:

http://www.pandasoftware.es/virus_info/glosario/default.aspx

Sobre el Laboratorio de Virus de Panda Software

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática