Informe semanal sobre virus

En el informe de esta semana destacamos cuatro códigos maliciosos: los gusanos Sory (W32/Sory), Kickin (W32/Kickin), Winur (W32/P2P.Winur.C), y el troyano AOL.Aim (Trj/PSW.AOL.Aim).

Sory es un gusano que recopila información confidencial del ordenador afectado y la envía a una dirección de Internet. Entre los datos que recoge se encuentran la versión del sistema operativo, el número, tipo y velocidad de la CPU, la cantidad de memoria RAM o la dirección de e-mail de la víctima. Además de ello, captura las pulsaciones del teclado que realiza el usuario del ordenador afectado, guardándolas en un fichero que también envía. De esta manera, el receptor de ese mensaje puede acceder a informaciones confidenciales del usuario del ordenador, como por ejemplo las contraseñas de acceso a ciertos servicios.

Para propagarse realiza copias de sí mismo en ordenadores que se encuentren conectados en red, si bien el sistema operativo debe estar instalado en lengua inglesa o turca.

Winur está diseñado para propagarse con rapidez a través de programas de intercambio de ficheros P2P (punto a punto), como pueden ser WinMX, KaZaa o Edonkey. Una vez que infecta un equipo, lleva a cabo un ataque de tipo DoS (denegación de servicio) contra la página web www.whitepower.org, al tiempo que borra algunos programas antivirus.

Además de ello, copia una gran cantidad de ficheros personales del ordenador afectado en los directorios compartidos que utilizan los programas P2P. De este modo, dichos archivos quedarán al alcance del creador del virus o de cualquier usuario de las mencionadas aplicaciones.

El gusano Kickin se envía por correo electrónico mediante su propio motor SMTP (Simple Mail Transfer Protocol), aunque también puede propagarse enviándose por IRC y mediante aplicaciones P2P. Infecta las plataformas Win9x, NT, 2000 y XP y busca en memoria una serie concreta de procesos (relacionados con software antivirus y de seguridad) cerrándolos si los encuentra activos.

Kickin se propaga por correo electrónico haciendo uso de las “técnicas de ingeniería social” o reclamos para tratar de engañar al usuario y conseguir que ejecute el archivo, como por ejemplo el SARS (Severe Acute Respiratory Syndrome), parches, cartas de amor, juegos, fotos de artistas famosas, etc.

Además, crea un fichero script.ini con código para propagarse a través de mIRC y se copia en los directorios de ficheros compartidos de varias aplicaciones P2P (KaZaa, Bearhsare, Edonkey2000 y Morpheus).

Por último, AOL.Aim es un troyano que recopila los datos de acceso del equipo afectado al servicio de mensajería instantánea de la compañía America On Line (AOL). Concretamente, capta el nombre de usuario y la contraseña para enviarlos al creador del virus.

AOL.Aim no utiliza ningún medio específico de propagación, pudiendo llegar a los ordenadores por cualquiera de las vías habitualmente utilizados por los virus: disquetes, CD-ROMs, descargas desde Internet, FTP, etc.

Más información sobre estos u otros códigos maliciosos en la Enciclopedia de Virus de Panda Software, disponible en la dirección: http://www.pandasoftware.es/virus_info/enciclopedia/.

Información adicional

– DoS / Denegación de servicios: Es un ataque, causado en ocasiones por los virus, que evita al usuario la utilización de ciertos servicios (del sistema operativo, de servidores Web, etc).

– IRC (Chat IRC): Son conversaciones escritas a través de Internet (en las que además pueden transferirse ficheros), conocidas vulgarmente como chat.

Más definiciones técnicas relacionadas con los virus y los antivirus en: http://www.pandasoftware.es/virus_info/glosario/default.aspx

Sobre el Laboratorio de Virus de Panda Software

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Para más información:
Yolanda Ruiz
yruiz@pandasoftware.es
Tel. +34 91 806 37 00

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática