Informe semanal sobre virus e intrusos

El informe de hoy está protagonizado por tres vulnerabilidades, dos troyanos – WmvDownloader.A y WmvDownloader.B -, y dos gusanos -Lasco.A y Gaobot.CKP-.

Informe semanal sobre virus e intrusos
Comenzamos el presente informe refiriéndonos a tres problemas de seguridad,
para cuya resolución Microsoft ha publicado esta semana las correspondientes
actualizaciones.

– Vulnerabilidad en la Ayuda HTML de Windows, que podría permitir a piratas
informáticos controlar el ordenador, con los mismos privilegios que el
usuario que haya iniciado la sesión. Puede ser aprovechada mediante la
creación de una página web especialmente diseñada y afecta a ordenadores con
sistema operativo Windows 2003/XP/2000/NT/Me/98.

– Problema de seguridad en el formato de iconos y cursores de Windows. Un
usuario podría aprovecharse de ella para controlar el equipo vulnerable
alojando un cursor o icono -especialmente creado en una página web
maliciosa-, o utilizado un mensaje de correo electrónico en formato HTML.
Afecta a los sistemas cuyo sistema operativo sea Windows
2003/XP/2000/NT/Me/98.

– Vulnerabilidad en el servicio Index Server, que posibilita la ejecución
remota de código y la escalada de privilegios. Afecta a ordenadores con
sistema operativo Windows XP -que no tengan instalado el Service Pack 2-, y
Windows 2003.

WmvDownloader.A y WmvDownloader.B, por su parte, son dos troyanos que se
propagan a través de redes P2P, en forma de archivos de vídeo que tienen
como extensión .wmv.

Para difundirse, WmvDownloader.A y WmvDownloader.B aprovechan Windows Media
Digital Rights Management (DRM), tecnología que exige un número de licencia
válido cuando se intenta reproducir un archivo Windows Media protegido. En
la práctica, si un usuario ejecuta un archivo de vídeo infectado por
WmvDownloader.A o por WmvDownloader.B, estos troyanos simulan descargar la
correspondiente licencia desde determinadas páginas de Internet. Sin
embargo, realmente lo que hacen es redirigir hacia otras direcciones desde
las que se descargan aplicaciones maliciosas, como adware, spyware o
dialers.

El primer gusano que analizamos hoy es Lasco.A, que se propaga a teléfonos
móviles que utilicen el sistema operativo Symbian. Aunque, en principio, su
objetivo eran los teléfonos Nokia de la serie 60, también puede afectar a
otros dispositivos basados en el mencionado software.

Para difundirse, Lasco.A recurre a las formas que se especifican a
continuación.

1.- A través de Bluetooth (tecnología que permite la conexión inalámbrica de
dispositivos electrónicos a corta distancia).
Cuando es ejecutado, Lasco.A inicia la búsqueda de otros dispositivos que se
encuentren conectados mediante Bluetooth y, si localiza alguno, le envía una
copia suya en un archivo llamado VELASCO.SIS. Cuando el dispositivo al que
le ha enviado el fichero está fuera del alcance de Bluetooth, Lasco.A
continua buscando nuevos dispositivos a los que afectar.

2.- Insertando su código en todos los archivos SIS del dispositivo afectado.
Cuando los referidos ficheros son distribuidos y ejecutados en nuevos
dispositivos, estos resultan afectados por Lasco.A.

Para poder propagarse Lasco.A necesita la intervención del usuario, ya que
éste recibe un mensaje anunciando su recepción. Si el usuario confirma dicho
mensaje, el gusano procede a instalarse en el dispositivo.

Finalizamos el informe de hoy con Gaobot.CKP, gusano que para difundirse
realiza copias de sí mismo en los recursos compartidos de red a los que
logra acceder, y aprovecha las vulnerabilidades LSASS, RPC DCOM y WebDAV.
Además, puede entrar en los ordenadores que tengan la aplicación SQL Server,
cuya cuenta SA (System Administrator) tenga la contraseña en blanco, y en
los equipos que estén ejecutando el programa DameWare Mini Remote Control.
Por último, Gaobot.CKP también accede a los ordenadores afectados por los
siguientes ejemplares de malware: Bagle.A, Mydoom.A, Optix, NetDevil, Kuang
y SubSeven.

Gaobot.CKP permite controlar remotamente el ordenador al que afecta,
llevando a cabo en él diferentes acciones, como ejecutar comandos, descargar
y ejecutar archivos, capturar las pulsaciones del teclado, y realizar
ataques de Denegación de Servicio Distribuida (DDoS).

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia
de Panda Software, disponible en la dirección:
www.pandaantivirus.com.ar/enciclopedia

Antivirus Online Gratis y Actualizado al día con la última tecnología:
www.ActiveScan.com.ar

Controle en el nivel de protección de su antivirus:
www.antiviruschecker.com.ar

Más definiciones técnicas en:
www.pandaantivirus.com.ar/glosario

Más información sobre las Tecnologías TruPrevent en:
www.pandaantivirus.com.ar/truprevent

Descargas de aplicaciones gratuitas PQRemove desde Servidor de Argentina:
www.pandaantivirus.com.ar/solucionesinmediatas

Noticias sobre Seguridad Informática:
www.pandaantivirus.com.ar/seguridadinformatica


Fuente:
Panda Software

Panda Antivirus
Dast Informática S.R.L.
Distribuidor Mayorista Panda Software Argentina

www.pandaantivirus.com.ar

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática