Informe semanal sobre virus de Panda Software.

Informamos sobre el gusano Bagle.A, que a principios de esta semana se propagó por todo el mundo, y a dos troyanos pertenecientes a la misma familia: StartPage.AB y StartPage.AC.

Bagle.A se difunde a través del correo electrónico en un mensaje escrito en inglés que tiene como asunto el texto “Hi”. El e-mail en el que se manda incluye un fichero que posee el mismo icono que la Calculadora de Windows, mientras que su nombre está compuesto por una serie de números – escogidos aleatoriamente – y la extensión “EXE”.

Tras instalarse en un equipo, Bagle.A busca -en los archivos con extensión “WAB”, “HTM”, “HTML” y “TXT” del equipo al que afecta-, direcciones de correo electrónico, a las que posteriormente se envía – excepto a las que pertenezcan a los dominios: hotmail.com, msn.com, microsoft.com y avp.com -, utilizando pare ello su propio motor SMTP. Además, cada diez minutos Bagle.A intenta – a través del puerto 6777 – conectarse a varias páginas web, para actualizarse a sí mismo.

Bagle.A, que incluye código que le permite descargar ficheros desde Internet y ejecutarlos en el PC al que afecta, sólo puede llevar a cabo sus acciones cuando la fecha del sistema es menor o igual al 28 de enero de 2004.

El primer troyano al que nos referimos hoy es StartPage.AB, que cambia la página de inicio del navegador Internet Explorer y sus opciones de búsqueda. Igualmente, modifica el fichero HOSTS, para impedir al usuario que acceda a varias páginas web que ofrecen información o programas contra el spyware. Por último, cabe destacar que se coloca residente en memoria y no permite guardar los cambios que se realicen en el Registro de Windows.

Finalizamos el presente informe con otra variante de StartPage, concretamente la “AC”. Este troyano cambia la página de inicio de Internet Explorer y modifica una entrada en el Registro de Windows, para así ejecutarse cada vez que un usuario abra un fichero con extensión TXT.

Más información sobre estos u otros códigos maliciosos en la:
Enciclopedia de Virus de Panda Software.

Información adicional

– Spyware o programa espía: aplicación que acompaña a otra y se instala de forma automática en un ordenador (generalmente sin permiso de su propietario y sin que éste sea consciente de ello) para recoger información personal (datos de acceso a Internet, acciones realizadas mientras navega, páginas visitadas, programas instalados en el PC, etc.).

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática