Informe semanal sobre virus de Panda Software

En el presente informe sobre códigos maliciosos vamos a ocuparnos de dos gusanos -Mimail.I y Sinala.A-, y de dos troyanos -Sdbot.BL y Webber.C-.

Informe semanal sobre virus de Panda SoftwareLa variante I de Mimail se propaga a través del correo electrónico en un mensaje que tiene como asunto: “YOUR PAYPAL.COM ACCOUNT EXPIRES”, e incluye un fichero llamado paypal.asp.scr ó w w w.paypal.com.scr. En todos los ficheros del ordenador al que afecta -cuya extensión no sea: COM, WAV, CAB, PDF, RAR, ZIP, TIF, PSD, OCX, VXD, MP3, MPG, AVI, DLL, EXE, GIF, JPG y BMP-, busca direcciones de correo, y las guarda en el fichero el388.tmp. A su vez, Mimail.I se envía a todas las direcciones que encuentra, utilizando su propio motor SMTP.

Por su parte, Sinala.A se difunde aprovechándose para ello de la vulnerabilidad MHTML de Outlook Express, que permite a un hacker mandar y ejecutar un programa en el ordenador atacado. También se propaga a través de programas P2P, por medio de ficheros con extensión EXE o SCR y con el icono representativo de los archivos de video AVI. En la práctica, este gusano llega en un mensaje cuyo remitente es “demionklaz@hotmail.com”, u otro que sustrae de la Libreta de direcciones de Outlook o de MSN Messenger del equipo al que ha afectado. El fichero adjunto incluido en el correo y que origina su infección se denomina ALANIS.EXE.

Un síntoma claro que delata la presencia de Sinala.A en un PC es la visualización de una ventana que aparenta ser un mensaje de error de Windows. Además, este código malicioso comprueba de forma periódica si hay un disquete en la disquetera y, si lo hay, copia ficheros en él.

El primer troyano que analizamos hoy es Sdbot.BL, que se propaga principalmente a través del correo electrónico y de los canales de chat IRC, en un mensaje que incluye un fichero adjunto. Cuando el referido archivo se ejecuta, este troyano se coloca residente en memoria y se conecta a un canal IRC. Desde él permite a un hacker realizar diversas acciones, entre las que se encuentran escanear y redireccionar puertos, descargar y ejecutar ficheros, cambiar en el Registro de Windows los parámetros relacionados con la seguridad, y lanzar ataques de Denegación de Servicio (DoS).

Sdbot.BL resulta difícil de reconocer a simple vista, ya que no muestra mensajes o avisos que alerten sobre su presencia. Sin embargo, si las unidades de red compartidas se deshabilitan, o ciertos programas que se encuentran en ejecución se detienen sin causa aparente, el motivo puede ser la presencia de Sdbot.BL en el ordenador.

Terminamos el presente informe con Webber.C que, una vez instalado en un equipo, descarga de Internet un fichero que se encarga de robar las contraseñas de acceso a diferentes servicios que encuentra en la máquina afectada.

Webber.C ha sido enviado a través del correo electrónico en un mensaje de correo que simula proceder de una entidad bancaria. El citado e-mail tiene como asunto: “RE: Your credit application”, e incluye un fichero llamado W W W.CITIBANKHOMELOAN.HTM.PIF. Este archivo tiene doble extensión y la apariencia de la URL de una página web para así intentar de engañar al usuario y conseguir que lo ejecute, lo que provocaría la infección de Webber.C.

Más información sobre estos u otros códigos maliciosos en la Enciclopedia de Virus de Panda Software, disponible en la dirección:
Enciclopedia de Virus de Panda Software

Información adicional

– Denegación de Servicio (DoS): ataque, causado en ocasiones por los virus, que impide al usuario la utilización de ciertos servicios (del sistema operativo, de servidores web, etc.).

– Extensión: los ficheros se representan asignándoles un nombre y una extensión, separados entre sí por un punto: NOMBRE.EXTENSIÓN. El archivo puede tener cualquier nombre NOMBRE, pero la EXTENSIÓN (si existe) tendrá como máximo tres caracteres. La extensión es la que indica el formato o tipo de fichero (texto, documento de Word, imagen, sonido, base de datos, programa, etc.).

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática