Informe semanal sobre virus de Panda Software.

En el primer informe correspondiente a diciembre vamos a referirnos a tres gusanos: las variantes L y M de Mimail y Gaobot.BK.

Mimail.L y Mimail.M se propagan a través del correo electrónico en un mensaje que incluye un fichero que, a su vez, contiene otro archivo con doble extensión. Ambos gusanos se envían a sí mismos a todas las direcciones que encuentran, utilizando para ello su propio motor SMTP. A su vez, los dos realizan ataques de Denegación de Servicio (DoS) contra varios servidores y se registran como un servicio de Windows, para así no aparecer en la lista de procesos del Administrador de tareas. Además de compartir las citadas características, las variantes L y M de Mimail se diferencian, entre otros, por los aspectos que se mencionan a continuación.

– El campo del asunto del e-mail en el que se mandan, ya que el de Mimail.L aparece en blanco o incluye el texto “Re[2]we are going to bill your credit card”, y en el de Mimail.M se lee “Re: GREG” o “Re[3]” junto a caracteres que elige aleatoriamente.

– Mimail.L puede incluir los archivos WENDY.ZIP y FOR_GREG_WITH_LOVE.JPG.EXE. Por su parte, Mimail.M puede incluir el fichero WENDY.ZIP, o los siguientes: only_for_greg.zip, for_greg.jpg.exe y Wendy.Exe.

– Los servidores contra los que realizan ataques DoS.

– Las modificaciones que realizan en el registro de Windows del equipo al que afectan.

El tercer gusano al que nos referimos hoy es Gaobot.BK que, para propagarse al mayor número de ordenadores posible, aprovecha las vulnerabilidades RPC DCOM y WebDAV. Además, se difunde realizando copias de sí mismo en recursos compartidos de red, a los que logra acceder empleando contraseñas que son típicas o fáciles de adivinar. Un claro síntoma de la presencia de Gaobot.BK en un equipo es el aumento considerable del tráfico de red a través de los puertos TCP 135 y 445, debido a sus intentos para aprovechar los citados problemas de seguridad.

Una vez ejecutado, Gaobot.BK se conecta a un servidor IRC determinado y espera órdenes de control. En la práctica permite obtener información del ordenador al que afecta, ejecutar ficheros, realizar ataques de tipo de Denegación de Servicio Distribuida (DDoS) y subir ficheros por FTP. También finaliza procesos pertenecientes a programas antivirus, firewalls y herramientas de monitorización del sistema, dejando así al PC vulnerable al ataque de otros virus y gusanos. Igualmente, Gaobot.BK finaliza los procesos correspondientes a Nachi.A, Autorooter.A, Sobig.F y varias variantes de Blaster.

Más información sobre estos u otros códigos maliciosos en la Enciclopedia de Virus de Panda Software

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática