Informe semanal sobre virus e intrusos.

El informe sobre virus e intrusos de esta semana está centrado en dos gusanos (Mydoom.BH y Crowt.B) y un troyano, Downloader.BHV.

Informe semanal sobre virus e intrusos. MyDoom.BH es un gusano de correo electrónico que, además, tiene capacidades de propagación a través del programa de intercambio de archicos Kazaa. Una vez que ha llegado a un equipo y se ejecuta, descarga una página desde un sitio web con un hexadecimal en formato ASCII, que es guardado en el directorio de sistema de Windows como un archivo ejecutable llamado TEMP1.EXE. Además, muestra una pantalla en la que hace referencia a un antivirus con la intención de despistar al usuario.

Para propagarse a través del correo electrónico, se reenvía a todos los contactos de la Libreta de direcciones de Outlook, utilizando su propio motor SMTP. El mensaje enviado tiene la dirección de correo del remitente falsificada, e incluye un archivo adjunto con el código malicioso.

Además de utilizar correo electrónico, MyDoom.BH crea una copia de sí mismo en el directorio compartido de KaZaA, que obtiene del Registro de Windows. Dicha copia tiene nombre de archivo y extensión aleatorios, seleccionados de uina lista previa con nombres que puedan resultar atractivos a los usuarios de KaZaA.

Otros usuarios de este programa podrán acceder de manera remota a este directorio compartido. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por Mydoom.BH, pensando que se trata de aplicaciones informáticas interesantes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano. Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Mydoom.BH.

El segundo gusano de este informe, Crowt.B, tiene de puerta trasera y se transmite por correo electrónico usando su propio motor SMTP. Las direcciones a las que se envía las obtiene de la lista de contactos almacenada en el ordenador del usuario.

Permite ejecutar comandos en el equipo afectado remotamente y obtener información del mismo. Tiene además un peligro adicional, ya que actúa como keylogger, grabando las pulsaciones d eteclas del usuario y capturando así las contraseñas tecleadas. Crowt.B, para pasar desapercibido, inyecta su código en otros programas.

Por último, nos ocupamos del troyano Downloader.BHV. Este código malicioso descarga e instala programas adware en el ordenador afectado.

Downloader.BHV no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.

Cuando se ejecuta, descarga desde diversos sitios web 5 ficheros ejecutables enmascarados como ficheros GIF, que ejecuta en el sistema infectado. Para evitar si detección, utiliza técnicas muy rudimentarias (algunas cadenas de texto las compone durante la ejecución del código).

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia
de Panda Software:
www.pandaantivirus.com.ar/enciclopedia

Antivirus Online Gratis y Actualizado al día con la última tecnología:
www.ActiveScan.com.ar

Controle en el nivel de protección de su antivirus:
www.antiviruschecker.com.ar

Más definiciones técnicas en:
www.pandaantivirus.com.ar/glosario

Más información sobre las Tecnologías TruPrevent en:
www.pandaantivirus.com.ar/truprevent

Descargas de aplicaciones gratuitas PQRemove desde Servidor de Argentina:
www.pandaantivirus.com.ar/solucionesinmediatas

Noticias sobre Seguridad Informática:
www.pandaantivirus.com.ar/seguridadinformatica

Más información sobre las Tecnologías TruPrevent(TM) en:
www.pandaantivirus.com.ar/truprevent


Fuente:
Panda Software

Panda Antivirus
Dast Informática S.R.L.
Distribuidor Mayorista Panda Software Argentina

www.pandaantivirus.com.ar

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática