Informe semanal sobre virus.

En el presente informe vamos a referirnos a Aurity, un virus de macro de Word, dos gusanos llamados Halfint y Nolor, y al troyano Optix.Pro.

Informe semanal sobre virus.Aurity (W97M/Aurity) es un virus de macro perteneciente al grupo W97M, e infecta documentos de Microsoft Word 97 así como la plantilla global que dicho programa utiliza. En primer lugar, el virus infecta un documento que, cuando es abierto, infecta la plantilla NORMAL.DOT. Posteriormente, la infección de la plantilla hace que todos los documentos basados en ella queden a su vez afectados en el momento en que se abren.

Aurity produce los siguientes efectos:

Desactiva la protección antivirus en las macros de Word. Esto supone que, cuando se abre un documento, Word no solicita confirmación para activar o desactivar las macros incluidas en el mismo.
Infecta los documentos de Word (ficheros con extensión DOC).
Infecta la plantilla global de Word que, a su vez, se encarga de infectar todos los documentos de Word que se utilicen.

Halfint (W32/Halfint) es un gusano sin efectos destructivos que se propaga a través de KaZaA, un programa de intercambio de ficheros P2P (punto a punto). Cuando es ejecutado, crea 36 copias de sí mismo en el directorio compartido de KaZaA . Todos esos ficheros tienen nombres que hacen referencia a programas informáticos, juegos, etc. Algunos ejemplos serían: Age of Empires 2 – Crack.exe, Playstation 2 Emulator Downloader.exe o Windows Key Generator (all versions).exe.

De este modo, otros usuarios ajenos al ordenador infectado descargarán en sus equipos copias del virus pensando que, en realidad, se trata de otro tipo de utilidades.

Nolor (W32/Nolor) es un gusano que se propaga con rapidez a través del correo electrónico. Una vez que infecta el equipo, envía una copia de sí mismo a todos los contactos que encuentra en la libreta de direcciones, para lo cual utiliza su propio motor SMTP. El mensaje de correo a través del cual se propaga Nolor tiene características muy variables, aunque, normalmente, simula contener fotos de Bin Laden, tarjetas de felicitación o contraseñas de acceso a ciertos programas.

En cualquier caso, es sencillo reconocer a Nolor puesto que llega en un mensaje de correo que siempre tendrá uno de los siguientes archivos adjuntos: LOVE_LORN.KIS.OK.EXE, LOVELORN.KIS.OK.EXE, THUYQUYEN.KIS.OK.EXE, LOVE_LORN.HTM, LOVELORN.HTM o THUYQUYEN.HTM.

Por último, Optix.Pro (Bck/Optix.Pro.13) es un peligroso troyano que abre el puerto de comunicaciones 3410, permitiendo que un hacker gane acceso, de manera remota, a los recursos del ordenador afectado. Además de ello, instala y ejecuta otro troyano de tipo backdoor (detectado por Panda antivirus como Bck/Sub7.22), deshabilita programas antivirus y termina procesos relacionados con firewalls.

Optix.Pro no utiliza ningún método específico para difundirse. De hecho, puede utilizar cualquiera de los habitualmente empleados por los virus: disquetes, CD-Rom, mensajes de correo electrónico con ficheros adjuntos infectados, descargas de Internet, transferencia de ficheros a través del FTP, etc.

Más definiciones técnicas relacionadas con los virus y los antivirus en:

http://www.pandasoftware.es/virus_info/glosario/default.aspx

Más información sobre los códigos maliciosos mencionados u otros en la Enciclopedia de Virus de Panda Software, disponible en la dirección:
www.pandaantivirus.com.ar/enciclopedia

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática