Informe semanal sobre virus de Panda Software.

En el presente informe sobre códigos maliciosos vamos a referirnos a un gusano denominado Daker.A y a cuatro variantes de Mimail.

Darker.A llega en un mensaje de correo electrónico que tiene un fichero adjunto, e intenta engañar al usuario haciéndole creer que se trata de una aplicación informática interesante. Cuando el citado archivo se ejecuta, este gusano se envía a contactos que encuentra (en programas -como, por ejemplo, Outlook o MSN Messenger-, o en ficheros con extensiones específicas -WAB, HTM, HTML, TXT, etc.-) en el equipo al que ha afectado. A su vez, este código malicioso intenta difundirse a través de los siguientes programas de intercambio de ficheros punto a punto (P2P): Kazaa, Morpheus y Grokster.

Darker.A se reproduce creando copias de sí mismo sin infectar otros ficheros. Además, puede conectarse a un servidor IRC para permitir a los piratas informáticos acceder, de manera remota, al PC y realizar en él diferentes acciones. Entre ellas destacan: descargar, ejecutar y borrar archivos, obtener información del sistema, cerrar aplicaciones antivirus y ejecutar comandos ICMP.

Por su parte, las variantes E, F, G y H de Mimail se propagan a través del correo electrónico en un mensaje que tiene como asunto el texto: “don’t be late!”, e incluye un fichero adjunto llamado READNOW.ZIP. A su vez, el citado archivo contiene otro con doble extensión llamado READNOW.DOC.SCR.

Las citadas variantes de Mimail se caracterizan por estar diseñadas para enviarse masivamente a través de correo electrónico utilizando su propio motor SMTP. Asimismo, intentan provocar ataques de Denegación de Servicio (DoS) a varios sitios web, y se instalan de forma residente en la memoria del ordenador. Por contra, se diferencian, entre otros, por los siguientes aspectos:

– Los servidores contra los que realizan los ataques de Denegación de Servicio: las variantes E y F los dirigen contra las páginas web de spews.org, spamhaus.org y spamcop.net, mientras que la F lo hace contra fethard.biz y fethard-finance.com, y la G contra mysupersales.com.

– Las cuatro variantes están escritas en el lenguaje de programación C con el compilador LCC Win32. Su tamaño es de 10784 bytes cuando se encuentran comprimidas mediante UPX. Una vez descomprimidas, el tamaño de las variantes E, F y H es de 23072 bytes, mientras que el de la G es de 22560 bytes.

A diferencia de Mimail y Mimail.B, las variantes E, F, G y H no se aprovechan de las vulnerabilidades Codebase y MHTML para difundirse.

Más información sobre estos u otros códigos maliciosos en la Enciclopedia de Virus de Panda Software, disponible en la dirección:
Enciclopedia de Virus de Panda Software

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática