Informe semanal sobre virus de Panda Software.

En el informe de la presente semana vamos a ocuparnos de las variantes B de tres códigos maliciosos: Sober, Wincap y Duster.

Informe semanal sobre virus de Panda Software.Sober.B es un gusano que se propaga a través del correo electrónico en un mensaje escrito en inglés o alemán. En concreto, se envía a todas las direcciones que encuentra, utilizando para ello su propio motor SMTP, y se valida a sí mismo en los servidores de correo desde donde se manda con el nombre “MailerVB.de”.

En el equipo al que afecta Sober.B crea dos copias de sí mismo, que se colocan residentes en memoria. En la práctica, este gusano comprueba si ambas copias están en proceso de ejecución y, si uno de los procesos asociados ha terminado, o alguno de los ficheros es borrado, la otra copia se encarga de regenerarlo.

Por su parte, Duster.B es un virus con características de gusano que se propaga a través del programa de intercambio de ficheros (P2P) KaZaA y a través de los recursos compartidos de red, de la manera que se describe a continuación.

– Mediante KaZaA

Duster.B busca el directorio compartido -por defecto- del citado programa de intercambio. Si el directorio no está compartido, modifica una entrada del Registro de Windows para que lo esté. Después, infecta todos los ficheros PE que se encuentran en el directorio compartido, añadiéndoles su código al principio. Cuando otros usuarios accedan, de manera remota, a los referidos directorios se descargarán voluntariamente en su ordenador alguno de los ficheros infectados por Duster.B, creyendo que son aplicaciones informáticas interesantes, imágenes, etc. Sin embargo, cuando ejecuten el fichero que descarguen, lo que realmente ocurrirá es que sus ordenadores también quedarán afectados por Duster.B.

– A través de los recursos compartidos de red.

Duster.B comprueba si el ordenador infectado está en red y, si es así, intenta copiar el fichero DUST.EXE en todos los ordenadores que haya, generando en cada uno de ellos el archivo AUTOEXEC.BAT, cuyo objetivo es ejecutar el virus cada vez que se reinicie el ordenador.

Duster.B se conecta a la dirección IP 208.178.231.190, perteneciente a un servidor IRC, a través del puerto 6667. Tras hacerlo espera, en el ordenador afectado, la llegada de comandos de control como, por ejemplo, descargar y ejecutar ficheros.

Terminamos el presente informe con Wincap.B, troyano que contiene una lista de páginas web pertenecientes, entre otras, a entidades financieras on-line. Cuando el usuario accede a cualquiera de las referidas web, este código malicioso intenta capturar las contraseñas utilizadas y las guarda en un fichero, que será comprimido y enviado, en un e-mail, a un hacker.

Más información sobre estos u otros códigos maliciosos en:
Enciclopedia de Virus de Panda Software

Información adicional

– PE (Portable ejecutable): término que hace referencia al formato de ciertos programas.

– Residente / Virus residente: se denomina fichero o programa residente a todo aquel fichero que se coloca en la memoria del ordenador, de forma permanente, controlando las operaciones realizadas en el sistema.

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática