Informe semanal sobre virus de Panda Software.

En el último informe correspondiente al mes que está a punto de acabar vamos a ocuparnos de cuatro ejemplares totalmente distintos: Sysbug.A, Psshutdown.A, Randex.BF y Dialer.CB.

Sysbug.A es un troyano que ha sido enviado de forma masiva a través del correo electrónico en un mensaje que tiene como asunto el texto: “Re[2]:Mary”, e incluye un fichero adjunto llamado PRIVATE.ZIP. El mencionado archivo está comprimido en formato ZIP y contiene otro denominado WENDYNAKED.JPG.EXE.

En el PC al que afecta Sysbug.A roba información confidencial como, por ejemplo, contraseñas pertenecientes a cuentas, servidores de correo (SMTP y POP3), grupos de noticias, cuentas de acceso telefónico a redes, etc. Después almacena dicha información en un fichero que enviará a un hacker. Además, este troyano abre el puerto TCP 5555 y espera comandos de control que llevar a cabo. Asimismo, Sysbug.A accede a la dirección finance.red-host.com y en ella realiza peticiones GET/POST a dos scripts de Perl.

Por su parte, Psshutdown.A es una herramienta de hacking que permite apagar o reiniciar el ordenador al que afecta (de forma similar a como sucede con el comando “shutdown” de Unix). El reinicio del equipo implica la pérdida de todos los datos no guardados. En la práctica, Psshutdown.A puede ser utilizado por varios gusanos y troyanos de manera malintencionada.

El tercer ejemplar al que nos referimos hoy es Randex.BF, un gusano con características de troyano que se difunde a través de redes de ordenadores. Genera direcciones IP aleatorias y trata de conectarse a ellas empleando contraseñas típicas o fáciles de adivinar. Si lo logra, realiza una copia de sí mismo en los ordenadores a los que consigue acceder. Randex.BF también se conecta al canal #goep del servidor IRC opqleure.qopmafia.net para recibir comandos (entre los que se hallan Ntscan y Sysinfo).

Terminamos el presente informe con Dialer.CB, dialer que se conecta a Internet y descarga ficheros que guardará en un directorio. Además crea -dentro del subdirectorio NAVPMC de Windows del equipo al que afecta -cuatro ficheros (denominados 2_INFO_PERSIST, NAVPMC.DLL, NAVPMC.EXE y UNINSTALL.EXE-, al tiempo que genera cuatro entradas en el registro del citado sistema operativo.

Más información sobre estos u otros códigos maliciosos en la Enciclopedia de Virus de Panda Software, disponible en la dirección: http://www.pandasoftware.es/virus_info/enciclopedia/

Información adicional

– Dialer: programa que suele ser utilizado para redirigir, de forma maliciosa, las conexiones mientras se navega por Internet. Su objetivo es colgar la conexión telefónica que se está utilizando en ese momento (la que permite el acceso a Internet, mediante el marcado de un determinado número de teléfono) y establecer otra, marcando un número de teléfono de tarifa especial.

– Herramienta de hacking: programa que permite a los hackers realizar acciones que conllevan un riesgo de seguridad en otros ordenadores (spam, chequeo de puertos de comunicaciones, ataques de denegación de servicio -DoS-, etc.).

– POP (Post Office Protocol): protocolo para recibir y obtener los mensajes de correo electrónico.

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Más definiciones técnicas relacionadas con los virus y los antivirus en la
Enciclopedia de Virus de Panda Software.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática