Informe semanal sobre virus de Panda Software.

El último informe sobre códigos maliciosos de octubre va a centrar su atención en tres gusanos – Sober.A, Lohack.D y Sexer.B -, y dos troyanos llamados Alof.A e Initsvc.D.

Sober.A se propaga a través del correo electrónico en un e-mail cuyo asunto y cuerpo son muy variables y pueden estar escritos tanto en inglés como en alemán. En concreto, se envía a todas las direcciones que encuentra en un gran número de archivos del equipo al que afecta, utilizando para ello su propio motor SMTP. El mensaje en el que se manda incluye un fichero adjunto que, si se ejecuta, provocará que aparezca una ventana con un falso mensaje de error.

En el PC al que afecta Sober.A coloca, de forma residente, dos copias de sí mismo que están continuamente en ejecución. Si finaliza uno de los procesos asociados a este gusano, o bien se elimina alguna de las copias mencionadas, la otra se encarga de volver a poner en funcionamiento o de crear de nuevo el fichero borrado.

El segundo gusano al que nos referimos hoy es Lohack.D, que se difunde a través del correo electrónico, de redes de ordenadores y del programa de intercambio de ficheros punto a punto (P2P) KaZaA. Para atraer la atención de los usuarios se envía en mensajes que simulan proceder del Ministerio de Ciencia y Tecnología español o de Panda Antivirus, y aluden a la implantación de la Ley de Servicios de la Sociedad de la Información y el Correo Electrónico.

Lohack.D se activa automáticamente con tan sólo ver el mensaje en el que se manda, a través de la Vista previa de Outlook. Para conseguirlo, aprovecha la vulnerabilidad -conocida como Exploit/Iframe- que afecta a las versiones 5.01 y 5.5 de Internet Explorer y permite la ejecución automática de los ficheros adjuntos a los mensajes de correo.

Sexer.B, por su parte, es un gusano que se propaga a través del correo electrónico en un mensaje -escrito con caracteres cirílicos- que incluye un fichero adjunto denominado KAVUTIL.EXE. Sexer.B manda una copia de sí mismo a todos los contactos que encuentra en la Libreta de direcciones de Windows del PC al que ha afectado, en el que también cambia el fondo de Windows por un texto en caracteres cirílicos.

Finalizamos el informe de hoy con Alof.A e Initsvc.D, dos troyanos que permiten a los hackers acceder -de manera remota- al ordenador al que han afectado, posibilitando que realicen en él acciones que comprometan la confidencialidad de los datos del usuario y dificulten su trabajo. Alof.A ha sido enviado masivamente en mensajes de tipo spam, con un fichero adjunto llamado WMDVM.EXE. En la práctica, Alof.A se conecta a un servidor de IRC y abre el puerto 24653.

Más información sobre estos u otros códigos maliciosos en la Enciclopedia de Virus de Panda Software, disponible en la dirección:
Enciclopedia Panda Antivirus

Información adicional

– SMTP (Simple Mail Transfer Protocol): protocolo que se utiliza en Internet para enviar correo electrónico.

– Spam: correo electrónico no solicitado, normalmente con contenido publicitario, que se envía de forma masiva. Este tipo de mensajes pueden causar graves molestias y provocar pérdidas de tiempo y recursos.

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática