Informe semanal sobre virus de Panda Software.

De entre los últimos códigos maliciosos aparecidos, en el presente informe vamos a referirnos a seis gusanos -Mimail.B, Gaobot.L, variantes “A” y “B” de Neroma, Gelcan.A y Vote.K- y a un hoax denominado Evocash.

Mimail.B es un gusano con características de troyano que se propaga a través del correo electrónico en un mensaje que tiene como asunto: “Fraudulent escrow service”, e incluye un fichero denominado “INFO.ZIP”. Debido a sus características de troyano, Mimail.B captura las pulsaciones del teclado.

Con el objetivo de propagarse al mayor número de equipos posible, Mimail.B aprovecha las vulnerabilidades Internet zone -del navegador Internet Explorer- y MHTML -de Outlook Express-, que permiten ejecutar código en la zona local del ordenador afectado.

Gaobot.L es un gusano de tipo backdoor que afecta a ordenadores con Windows XP/2000/NT. Para difundirse este código malicioso aprovecha las vulnerabilidades RPC DCOM y WebDAV, al tiempo que realiza copias de sí mismo en recursos compartidos de red, a los que logra acceso empleando contraseñas que son típicas o fáciles de adivinar. Una vez ejecutado, Gaobot.L se conecta a un servidor IRC determinado por el puerto 9900 y espera órdenes de control.

Por su características de backdoor, Gaobot.L permite obtener información del ordenador al que ha afectado, ejecutar ficheros, realizar ataques de tipo de denegación de servicio distribuida (DDoS), subir ficheros por FTP, etc. Además, finaliza los procesos correspondientes a Nachi.A, Autorooter.A, Sobig.F y a varias variantes de Blaster.

Neroma.A y Neroma.B son dos gusanos que se propagan a través del correo electrónico, enviándose a todos los contactos que encuentra en la Libreta de direcciones de Outlook del equipo al que afectan, en un mensaje escrito en inglés que alude a los atentados del 11 de septiembre de 2001 ocurridos en Nueva York. Además, ambos modifican una entrada en el Registro de Windows en ordenadores con Windows XP/2000/NT.

El quinto gusano al que nos referimos hoy es Gelcan.A, que se propaga realizando copias de sí mismo en la disquetera. Cuando se activa, queda residente en memoria y trata acceder a la disquetera cada cierto tiempo para realizar copias de sí mismo.

Vote.K, por su parte, es un gusano que afecta a ordenadores con Windows 9.x/ME y Windows NT/2000/XP. Se manda por correo electrónico a todas las direcciones que figuren en la libreta de direcciones del Outlook y también a través de IRC. Asimismo, Vote.K sobrescribe todos los ficheros con las siguientes extensiones: exe, com y scr, bmp, jpg, rar, zip, wav, y txt.

Terminamos el informe de hoy con Evocash, que no es un virus, sino un hoax o mensaje de correo que alerta sobre el envío de un gusano por parte de la empresa del mismo nombre. En realidad, el mensaje recibido no contiene ningún gusano, y la empresa Evocash no está de ningún modo involucrada en la recepción de este hoax.

El principal objetivo de Evocash es generar alarma social entre los usuarios utilizando para ello el reclamo de un código malicioso que realmente no existe. Por ello, lo más conveniente es eliminar dicho mensaje, sin reenviarlo a nadie.

Más información sobre estos u otros códigos maliciosos en la Enciclopedia de Virus de Panda Software, disponible en la dirección: http://www.panda-argentina.com.ar

Información adicional

– Registro de Windows (Registry): fichero que almacena todos los valores de configuración e instalación de los programas que se encuentran instalados y de la propia definición del sistema operativo Windows.

– Vulnerabilidades: fallos o problemas seguridad detectados en algún programa o sistema informático que los virus utilizan para propagarse e infectar.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática