Informe semanal sobre virus

En el informe de esta semana nos ocuparemos de tres gusanos informáticos denominados Mapson (W32/Mapson), Lentin.R (W32/Lentin.R) y Naco.F (W32/Naco.F), así como del virus/gusano Trile (W32/Trile).

Informe semanal sobre virusMapson es un código malicioso de origen mexicano que posee una gran capacidad de propagación a través de correo electrónico haciendo uso de la Ingeniería Social. Así, el e-mail que contiene a Mapson puede presentar varios asuntos y cuerpos de mensaje, así como nombres de archivo adjunto y direcciones de remite.

Además, Mapson puede enviarse a través de aplicaciones de intercambio de archivos peer-2-peer (P2P) tales como Kazaa o Morpheus. Para ello, crea, en los directorios donde se almacenan los archivos compartidos a través de dichos programas, una gran cantidad de ficheros con nombres atractivos para los usuarios y que hacen alusión a artistas famosas, programas informáticos, etc.

En el momento de su aparición Mapson causó un gran número de incidencias entre los equipos de usuarios de habla hispana. Debido a ello, Panda Software puso gratuitamente a disposición de todos los usuarios la aplicación PQREMOVE, capaz de limpiar y restaurar cualquier afectado por este gusano.

Lentin.R es un gusano peligroso capaz de finalizar procesos activos en el ordenador y enviar al autor del virus un correo electrónico con información confidencial. Se propaga a través de mensajes con características muy variables y puede activarse automáticamente con tan sólo visualizar el e-mail a través de la vista previa de Outlook. Para ello, aprovecha una vulnerabilidad del navegador Internet Explorer, que afecta a las versiones 5.01 y 5.5.

Por otra parte, Lentin.R está diseñado para realizar ataques de denegación de servicio (DoS) contra cinco direcciones de Internet. Además, el gusano comprueba si el ordenador atacado es un servidor web IIS (Internet Information Server). En caso de que lo sea, modifica los ficheros con extensión HTM o HTML que encuentra en el directorio raíz, añadiendo dos enlaces a la página web de los creadores del gusano.

Naco.F es un gusano diseñado para detener los procesos y eliminar los ficheros asociados de diferentes aplicaciones antivirus y de seguridad. Para propagarse se envía a sí mismo a todos los contactos de la libreta de direcciones de Windows, en mensajes de correo electrónico con asunto y cuerpo de texto variables. Sin embargo, en la mayoría de las ocasiones, el nombre del archivo adjunto es CSRSS32.exe.

Por último, Trile es un virus/gusano dañino que posee una gran capacidad para infectar ficheros .EXE. Llega al equipo en un e-mail cuyo asunto, cuerpo, así como el nombre del fichero adjunto son muy variables. Además, los archivos adjuntos siempre tienen doble extensión, siendo .bat o .pif una de ellas mientras que la otra puede ser cualquiera de las siguientes: .gif, .mpg, .mp3, .wav, .dat, .jpg, .htm, .xls, .txt, .mdb, .bmp ó .doc.

Si el fichero es ejecutado, Trile se reenvía a todas las entradas de la libreta de direcciones de Outlook. Además, crea -en caso de que no exista en el equipo-, el directorio C:/My Downloads. Dentro de éste último, el gusano genera un gran número de copias de sí mismo en ficheros con nombres muy atractivos para el usuario, tales como: Civilization 3 Full Downloader.exe, Need For Speed 5 Porsche Unleashed Patch.exe o Star Wars Starfighter ISO – Full Downloader.exe, entre otros muchos. Finalmente, el gusano también puede terminar procesos relacionados con programas antivirus y de seguridad.

Más información sobre estos u otros códigos maliciosos en la Enciclopedia de Virus de Panda Software, disponible en la dirección: http://www.pandasoftware.es/virus_info/enciclopedia/.

Información adicional

– DoS / Denegación de servicios: es un ataque, causado en ocasiones por los virus, que evita al usuario la utilización de ciertos servicios (del sistema operativo, de servidores Web, etc).

– Directorio raíz: Es la carpeta o directorio principal (más importante) de un disco.

Más definiciones técnicas relacionadas con los virus y los antivirus en: http://www.pandasoftware.es/virus_info/glosario/default.aspx

Sobre el Laboratorio de Virus de Panda Software

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática