Informe semanal sobre virus de Panda Software.

Blaster.F, Mapson.D, Darby.A, Apdoor.B, Daol.A y Surfbar centran la atención del informe de esta semana.

Informe semanal sobre virus de Panda Software.Blaster.F, que afecta a ordenadores con sistemas operativos Windows 2003/XP/2000/NT, es un gusano que aprovecha la vulnerabilidad conocida como Desbordamiento de buffer en el interfaz RPC para propagarse al mayor número de ordenadores posible. En concreto, aprovecha el citado problema de seguridad para descargar en el ordenador al que ataca una copia de sí mismo, para lo cual incorpora su propio servidor de TFTP (Trivial File Transfer Protocol).

Dos claros síntomas de la presencia de Blaster.F en un ordenador son el aumento considerable del tráfico de red -a través de los puertos TCP 135 y 4444, y UDP 69-, y el bloqueo y reinicio del ordenador PC.

Mapson.D es un gusano que se difunde a través del correo electrónico, de programas de intercambio de ficheros punto a punto (P2P) y de canales de chat IRC. Termina algunos procesos propios de Windows, como algunas herramientas del sistema y procesos correspondientes a diversos programas antivirus y a otras aplicaciones -como, por ejemplo, firewalls-, dejando así al ordenador infectado vulnerable a los ataque de otros virus o gusanos.

En equipos con Windows NT instalado, Mapson.D inicia el servicio Telnet con el nombre de usuario GEDZAC, al que asigna derechos de administrador local, lo que le permite validar las direcciones IP recibidas.

El tercer código malicioso que analizamos hoy es Darby.A, virus con características de gusano que, como Mapson.D, se propaga a través del correo electrónico, los programas de intercambio de ficheros punto a punto (P2P) y de IRC. También finaliza procesos correspondientes a diversos programas antivirus y a otras aplicaciones como, por ejemplo, firewalls y herramientas de monitorización del sistema.

Darby.A infecta la plantilla global de Word (fichero NORMAL.DOT) y la plantilla de Excel (fichero TEMPLATE.XLS), por lo que tras su acción todos los documentos de Word y las hojas de cálculo de Excel basados en dichas plantillas resultarán a su vez infectados. Además, deshabilita las herramientas de edición de macros de dichos programas.

Apdoor.B, por su parte, es un backdoor que permite a los hackers acceder de manera remota al ordenador afectado. Para ello, se conecta a un servidor IRC y entra en un canal predefinido. Una vez conectado, un hacker puede acceder de manera remota al PC para lanzar ataques de Denegación de Servicio (DoS) contra otros ordenadores.

Daol.A es un virus que aprovecha las vulnerabilidades Internet Zone y MHTML para descargarse en el PC y ejecutarse. Este código malicioso infecta todos los ficheros con extensiones EXE, SCR, ASP, PLG, HTM, HTML, VBS y VBE. Cuando el fichero infectado tiene extensión ASP, PLG, HTM, HTML, VBS o VBE, Daol.A cifra el contenido original del fichero.

Finalizamos el presente informe con Surfbar, que utiliza la vulnerabilidad de Ejecución Remota de Datos de Objeto para llegar al ordenador y crear diferentes directorios que contienen accesos a varias páginas web que, en su mayoría, son de contenido pornográfico. Además, Surfbar cambia la página de inicio del navegador Internet Explorer.

Más información sobre estos u otros códigos maliciosos en la Enciclopedia de Virus de Panda Software, disponible en la dirección:
Enciclopedia Panda Antivirus

Información adicional

– Backdoor / Puerta trasera: punto (de hardware o de software) que permite acceder al control total o parcial de un ordenador.

– Firewall / Cortafuegos: barrera o protección que permite a un sistema salvaguardar la información al acceder a otras redes como, por ejemplo, Internet.

– Puerto de comunicaciones / Puerto: punto de acceso a un ordenador o medio a través del cual tienen lugar las transferencias de información (entradas / salidas), del ordenador con el exterior y viceversa (vía TCP/IP).

Más definiciones técnicas relacionadas con los virus y los antivirus en:
Panda Antivirus en Argentina

Sobre el Laboratorio de Virus de Panda Software

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc.
Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática