Informe semanal sobre virus

Un troyano llamado Autorooter y dos gusanos – denominados Panol y Mimail – protagonizan el presente informe sobre virus.

Autorooter es un troyano que emplea la vulnerabilidad conocida como DCOM-RPC. Cuando este código malicioso encuentra una dirección IP válida se conecta a esa máquina y comprueba si puede aprovechar el citado problema de seguridad. En caso afirmativo emplea el servidor FTP TFTPD.EXE para descargar en el equipo el fichero de tipo backdoor LOLX.EXE o DCOM.EXE, que posibilita que un hacker acceda, de forma remota, al PC y realice en él varias acciones, como formatear el disco duro o añadir nuevos usuarios.

Autorooter se encuentra en el interior de un fichero denominado WORM.EXE, que puede llegar al equipo de las formas más diversas (correos electrónicos enviados por usuarios maliciosos, en el interior de ficheros descargados de Internet, etc.). Cuando el citado archivo es ejecutado, Autorooter crea en el PC varios ficheros entre los que se halla RPC.EXE, que es el encargado de aprovechar la mencionada vulnerabilidad.

Panol, por su parte, es un gusano con efectos destructivos que se propaga a través del correo electrónico en un fichero adjunto denominado VIRUS_BLOCK.EXE, en un mensaje cuyo asunto es: “Protects against viruses, worms, Trojan & hackers”. Tras ejecutarse dicho archivo, este código malicioso termina una serie de procesos correspondientes a diversos programas antivirus y aplicaciones de seguridad.

Cuando se reinicia el ordenador al que ha afectado, Panol procede a formatear la unidad de disco duro “C:”. También cambia la página de Inicio de Internet Explorer y, el 2 y el 11 de septiembre, muestra en pantalla un mensaje.

Panol se envía por correo electrónico a todos los contactos que aparezcan en la Libreta de direcciones de Outlook. Igualmente, busca direcciones a las que enviarse en todos los ficheros con extensión ASP, HTM o HTML.

Finalizamos este informe con Mimail, gusano sin efectos destructivos que se propaga a través del correo electrónico en un mensaje que, para engañar a quien lo recibe, simula proceder del administrador de su servidor de correo. Además, este código malicioso aprovecha las vulnerabilidades Internet Zone del navegador Internet Explorer y MHTML de Outlook Express para ejecutar código en la zona local del ordenador al que afecta.

Más información sobre estos u otros códigos maliciosos en la Enciclopedia de Virus de Panda Software, disponible en la dirección: http://www.pandasoftware.es/virus_info/enciclopedia/

Información adicional

– Formatear: dar formato a una unidad de disco, eliminando todo su contenido.

– Vulnerabilidad: fallo o hueco de seguridad detectado en algún programa o sistema informático que los virus utilizan para propagarse e infectar.

Más definiciones técnicas relacionadas con los virus y los antivirus en: http://www.pandasoftware.es/virus_info/glosario/default.aspx

Sobre el Laboratorio de Virus de Panda Software

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática