Informe semanal sobre virus – 24/08/2003 -

Tres gusanos – Nachi.A (W32/Nachi.A), Sobig.F (W32/Sobig.F) y Panol.B (W32/Panol.B) -, y el virus de macro Caraga (W97M/Caraga) protagonizan el informe sobre virus de esta semana.

Nachi.A está diseñado, al igual que el famoso gusano Blaster, para
aprovechar la vulnerabilidad RPC DCOM que afecta a algunas versiones del
sistema operativo Windows. Así, Nachi.A no se propaga por correo
electrónico, sino que ataca máquinas remotas vía TCP/IP intentando provocar
en ellas un desbordamiento de buffer para obligar a la máquina atacada a
descargarse una copia del gusano. A tal fin, incorpora un servidor TFTP
(Trivial File Transfer Protocol). Además, este gusano, originario de China,
también puede hacer uso de otra vulnerabilidad conocida como WebDav.

Sin embargo, Nachi.A presenta una curiosa característica, ya que desinstala
al gusano Blaster de los ordenadores que puedan haber sido afectados por
este código malicioso, destruyendo sus procesos y borrando del equipo el
fichero que contiene al gusano. Al mismo tiempo, instala en la máquina el
parche de Microsoft que repara la vulnerabilidad RPC DCOM. Además, si el año
de la fecha actual es 2004, Nachi.A se autoelimina de la máquina atacada.

Por su parte, la nueva variante F del gusano Sobig se ha convertido en el
virus que más ampliamente se ha distribuido en menos tiempo en toda la
historia de la informática. Se ha observado su presencia en todo el mundo y,
en menos de 24 horas, se ha colocado entre las primeras posiciones de la
lista de virus más frecuentemente detectados por Panda ActiveScan. Todo ello
es debido a la inusual capacidad de propagación de este gusano a través de
correo electrónico y redes locales, lo cual, además, convierte a Sobig.F en
una grave amenaza para las redes corporativas, a las que puede llegar a
colapsar.

Además, Sobig.F tiene otros peligros adicionales como la utilización de la
ingeniería social para engañar a los usuarios y conseguir que ejecuten el
archivo en el que se oculta el gusano. Por otra parte, falsifica la
dirección del remitente de forma similar a como lo hacían otros códigos
maliciosos como Klez.I. De ese modo, existe la posibilidad de que el mensaje
de correo electrónico que contiene a Sobig.F aparente proceder de una fuente
fiable.

En caso de que el usuario ejecute el fichero adjunto, el gusano se envía por
correo electrónico usando su propio motor SMTP a todas las direcciones de
correo que pueda localizar en ficheros con extensiones .TXT, .HTM*, .WAB,
.DBX y .EML que se encuentren en el ordenador. Además, crea una copia de sí
mismo en el equipo afectado con el nombre winppr32.exe e introduce varias
claves en el registro de Windows con el fin de asegurar su ejecución cada
vez que se reinicie la máquina.

Adicionalmente, Sobig.F tiene capacidad para descargar ficheros de Internet,
así como para actuar a modo de “puerta trasera”, abriendo varios puertos de
comunicaciones. Por otra parte, también puede propagarse a través de redes
locales.

Panol.B se envía por correo electrónico a las direcciones que encuentre en
ficheros del disco duro con extensión htm*, y que sean precedidas de la
cadena ‘mailto:. Una vez instalado en el ordenador, permanece residente en
memoria e intenta llevar a cabo diferentes acciones según la fecha. Así,
puede reiniciar el ordenador o deshabilitar el ratón y el teclado.

Finalmente, Caraga infecta documentos de Word, llevando a cabo el proceso de
infección típico de los virus de macro. En primer lugar, infecta la
plantilla global de Word (fichero NORMAL.DOT) y, después, todos los
documentos de Word que se abran, guarden o cierren en el ordenador afectado.

Además, Caraga oculta o desactiva varias opciones del menú “Herramientas”,
como el editor de Visual Basic, la barra de herramientas, macros, cuadro de
controles, combinaciones de teclas, etc.

Más información sobre estos u otros códigos maliciosos en la Enciclopedia de
Virus de Panda Software, disponible en la dirección:

http://www.pandasoftware.es/virus_info/enciclopedia/

Información adicional

– Vulnerabilidades: fallos o huecos de seguridad detectados en algún
programa o sistema informático, que los virus utilizan para propagarse e
infectar.

– Virus de macro: es un virus que afecta a las macros contenidas en
documentos de Word, hojas de cálculo de Excel, presentaciones de PowerPoint,
etc.

Más definiciones técnicas relacionadas con los virus y los antivirus en:

http://www.pandasoftware.es/virus_info/glosario/default.aspx

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática