Informe semanal sobre virus

En el presente informe vamos a referirnos a un troyano llamado Typot (Linux/Typot), y a los siguientes gusanos: Sobig.E (W32/Sobig.E); Sluter (W32/Sluter); Fortnight.E (JS/Fortnight.E); Trile.C (W32/Trile.C) y Auric.E (W32/Auric.E).

LinuxTypot es un troyano que únicamente puede funcionar bajo distribuciones recientes de Linux, ya que está enlazado dinámicamente con GLIBC.2.3. Está diseñado para, de forma aleatoria, abrir puertos en el ordenador al que ha afectado y mapearlos en Internet. Después, cada 24 horas, envía la información que ha obtenido de los puertos abiertos a una dirección IP predefinida.

El primer gusano que analizamos en el presente informe es Sobig.E, que se envía por correo electrónico comprimido en un fichero zip e infecta los sistemas que tengan instalado Win9x, ME, NT, 2000 y XP. Se manda, utilizando su propio motor SMTP, a direcciones de correo obtenidas de archivos con alguna de las siguientes extensiones: .TXT, .EML, .HTM*, .DBX, .WAB, que busca en todos los directorios del sistema al que infecta.

Sluter, por su parte, es un gusano que se propaga -en los sistemas operativos Windows XP, 2000 y NT- a través de los recursos compartidos. Una vez en el equipo comprueba si existen otros ordenadores conectados en red. En caso afirmativo, trata de ganar acceso a los mismos para copiar y ejecutar una copia de sí mismo. Sluter permanece residente en memoria, a la escucha de los puertos TCP/IP 3330, 3331 y 3332.

El tercer gusano al que nos referimos hoy es Fortnight.E, que se propaga en un mensaje de correo que contiene en la autofirma, de manera oculta, un enlace a una página web. En la práctica, cuando un usuario visualiza el citado e-mail se abre el navegador de Internet con el enlace de la referida página web. Ésta contiene una aplicación Java, con el código del gusano, que se descargará automáticamente en el ordenador, provocando así la infección. Fortnight.E también cambia la configuración del navegador Internet Explorer y añade un acceso directo a tres páginas web de contenido pornográfico.

El siguiente código malicioso del presente informe es Trile.C, gusano que se difunde principalmente a través del correo electrónico, en un fichero adjunto a un mensaje de características variables, y a través de programas de intercambio de ficheros como KaZaA y Shareaza. En concreto, envía una copia de sí mismo a todos los contactos que encuentra en la Libreta de direcciones de Outlook. A su vez, Trile.C infecta numerosos ficheros del ordenador al que afecta, en los que copia su código. Además, busca procesos correspondientes a programas antivirus y de seguridad, y los finaliza si están activos.

Finalizamos la información de virus de esta semana con Auric.E, que se propaga a través del correo electrónico, los canales de IRC, mIRC y Pirch y los programas de intercambio de ficheros punto a punto (P2P). Cuando se difunde en un e-mail, se envía en un mensaje con un fichero adjunto denominado “SZISZI_VIDEO.EXE”. Una vez ejecutado el mencionado archivo, este gusano envía una copia de sí mismo a todos los contactos que encuentra en la Libreta de direcciones de Outlook y en los ficheros con extensión HT* que halla en el ordenador afectado.

Más información sobre estos u otros códigos maliciosos en la Enciclopedia de Virus de Panda Software, disponible en la dirección: http://www.pandasoftware.es/virus_info/enciclopedia/

Información adicional

– IP (Internet Protocol) / TCP-IP: IP es la dirección o código que identifica exclusivamente a cada uno de los ordenadores existentes. El protocolo TCP/IP es el sistema utilizado para la interconexión de dichos ordenadores, sin provocar conflictos de direcciones. Se utiliza en Internet.

– Mapeo / Mapear / Mapeada: acción por la que se asigna una letra a una unidad de disco, que se encuentra compartida en una red de ordenadores, como si de un disco más del ordenador se tratara.

Más definiciones técnicas relacionadas con los virus y los antivirus en: http://www.pandasoftware.es/virus_info/glosario/default.aspx

Sobre el Laboratorio de Virus de Panda Software

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática