Informe semanal sobre virus de Panda Software.

En el informe sobre códigos maliciosos de la semana que ahora acaba vamos a referirnos a seis gusanos – Gibe.C, Opaserv.X, las variantes “A” y “B” de Backterra, Reksa.A y Blaster.G -, y a Surfbar.B.

Informe semanal sobre virus de Panda Software.Gibe.C se propaga a través del correo electrónico -en un mensaje que aparenta proceder de Microsoft e incluir una actualización de seguridad-, de programas de intercambio de ficheros (P2P) KaZaA, de unidades de red compartidas y por IRC. Este gusano aprovecha las vulnerabilidades iFrame e Incorrect MIME Header y finaliza procesos pertenecientes a programas antivirus, firewalls y herramientas de monitorización del sistema, dejando así al ordenador al que afecta sin protección frente a otros códigos maliciosos. Además, Gibe.C desactiva el Editor de Registro de Windows y muestra mensajes por pantalla para conseguir información confidencial (como las contraseñas de las cuentas de correo) del usuario.

El segundo gusano al que nos referimos hoy es Opaserv.X. Se difunde a otros ordenadores a través de direcciones IP, realizando copias de sí mismo en carpetas compartidas de red, para lo que se aprovecha de la vulnerabilidad Share Level Password. Este código malicioso también crea, en el directorio de Windows del equipo al que afecta, varios ficheros y genera una entrada en el registro del mencionado sistema operativo.

Por su parte, Backterra.A y Backterra.B tienen como principal objetivo propagarse a través del programa de intercambio de ficheros (P2P) eMule. Para conseguirlo intentan engañar a los usuarios haciéndoles creer que son generadores de claves para programas y juegos. Tras ser ejecutados, y si eMule no está instalado, muestran en pantalla varios mensajes. La principal diferencia entre la variante “A” y la variante “B” de Backterra radica en el tamaño del fichero que realiza la infección. Concretamente, el de la primera mencionada ocupa 81.920 bytes, y el de la segunda 69.632 bytes.

El quinto gusano que analizamos es Reksa.A, que se difunde a través del correo electrónico en un mensaje escrito en inglés que tiene como asunto “Support Message”, e incluye un fichero adjunto denominado MSNUPDATE.EXE. Cuando se ejecuta muestra un mensaje en pantalla y crea -en el directorio de Windows- el archivo MSN.EXE, que es el que contiene el código del gusano.

Finalizamos el capítulo de gusanos con Blaster.G, que afecta a ordenadores con sistemas operativos Windows 2003/XP/2000/NT, aprovechándose para ello de la vulnerabilidad conocida como Desbordamiento de buffer en interfaz RPC. Ataca direcciones IP generadas aleatoriamente, intentando aprovechar el mencionado problema de seguridad para descargar en el PC una copia de sí mismo, para lo que incorpora su propio servidor de TFTP (Trivial File Transfer Protocol). Dos claros síntomas que delatan la presencia de Blaster.G en un ordenador son el aumento considerable del tráfico de red -a través de los puertos TCP 135 y 4444, y UDP 69-, y el bloqueo y reinicio del equipo.

Por último, Surfbar.B es un malware que emplea la vulnerabilidad de Ejecución Remota de Datos de Objeto para llegar al ordenador. La acción más significativa que realiza es cambiar la página de inicio del navegador Internet Explorer.

Más información sobre estos u otros códigos maliciosos en la Enciclopedia de Virus de Panda Software, disponible en la dirección: Enciclopedia Panda Antivirus

Información adicional

– Buffer: memoria intermedia utilizada para guardar temporalmente la información que se transfiere entre diferentes dispositivos informáticos (o entre los componentes de un mismo sistema informático).

– Malware: cualquier programa, documento o mensaje susceptible de causar perjuicios a los usuarios de sistemas informáticos.

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática