Informe semanal sobre virus e intrusos.

El informe sobre virus e intrusos de la presente semana se ocupa de cinco gusanos informáticos – Sober.I, Bagle.BG, Yanz.A, Drew.A y Aler.A -, y de un troyano llamado Msnsoug.A.

Informe semanal sobre virus e intrusos.Sober.I se envía por correo electrónico, utilizando su propio motor SMTP, en un mensaje escrito en alemán o en inglés, dependiendo del destinatario. Obtiene direcciones de correo del equipo al que afecta y las almacena en ficheros. Además, para ejecutarse cada vez que se enciende el computador, crea varias entradas en el Registro de Windows.

Bagle.BG, por su parte, se envía a través de correo electrónico en mensajes de características muy variables. Entre las acciones que lleva a cabo se encuentra la apertura del puerto TCP 2002, permaneciendo a la escucha. De esa manera, se comporta como una puerta trasera que permite el acceso remoto al ordenador afectado. Además, Bagle.BG finaliza procesos pertenecientes a diversas aplicaciones que realizan actualizaciones de programas antivirus, dejando así el sistema desprotegido frente a los ataques de virus de nueva aparición.

Yanz.A es un gusano de correo electrónico que se distribuye en mensajes de características muy variables, que muestran direcciones de remite falsas. También puede utilizar programas de intercambio de archivos punto a punto (P2P), creando archivos – de nombre variable – con copias de sí mismo en directorios que contengan la cadena de texto “shar”. Tanto los mensajes de correo, como los archivos compartidos que crea, hacen referencia a la cantante china Sun Yan Zi.

En el caso de que el archivo que lo contiene sea ejecutado, Yanz.A mostrará una pequeña ventana con el texto “Kernel Hatasi”. Además, abrirá el puerto TCP 67, permaneciendo a la escucha del mismo. A través de dicho puerto intentará descargar archivos conteniendo todo tipo de malware, que Yanz.A se encargará de ejecutar inmediatamente.

Drew.A se propaga tanto a través de correo electrónico, como de aplicaciones P2P. En el primer caso, utiliza su propio motor SMTP para enviar mensajes de formato muy variable. Tanto el asunto como el cuerpo de texto, así como el nombre del archivo adjunto, son escogidos de forma aleatoria a partir de una lista de opciones. Para difundirse a través de aplicaciones P2P, Drew.A busca todas las carpetas con la cadena de texto “Share” que se encuentren en el equipo, en las que se copia con nombres que puedan resultar atractivos o interesantes para el usuario, como “Cameron Dias.scr”, “Delphi 8 keygen.com” y “DrWeb 4.32 Key.com”.

En el caso de que el usuario ejecute el archivo adjunto al mensaje en el que se manda Drew.A, éste entra en acción creando en el equipo dos archivos con copias de sí mismo. Al mismo tiempo, se envía a todas las entradas de la libreta de direcciones y procede al borrado de todos los archivos – que tengan extensión HTM o TXT -, que encuentre en el computador.

El último gusano al que nos referimos hoy es el gusano Aler.A que, aunque hizo su aparición hace varios días, durante esta semana ha sido distribuido de forma masiva en mensajes de correo electrónico. Los mismos llevan por asunto “Latest News about Arafat !!!”, y adjuntan dos archivos. Uno de ellos es un fichero de imagen mostrando una escena de los funerales del político recientemente fallecido. Sin embargo, el otro archivo contiene un código diseñado para aprovechar una vulnerabilidad del navegador Internet Explorer. A través de ésta, se instala automáticamente en el equipo el gusano Aler.A, diseñado para propagarse en redes informáticas mal protegidas.

Finalizamos con Msnsoug.A, troyano que no se propaga automáticamente por sus propios medios. Tras afectar a un equipo, espera a que el usuario inicie una sesión en el programa MSN Messenger para enviar – a todos los contactos que se encuentren activos en ese momento – un mensaje con un texto en portugués.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección:
www.pandaantivirus.com.ar/enciclopedia

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia
de Panda Software:
www.pandaantivirus.com.ar/enciclopedia

Antivirus Online Gratis y Actualizado al día con la última tecnología:
www.ActiveScan.com.ar

Controle en el nivel de protección de su antivirus:
www.antiviruschecker.com.ar

Más definiciones técnicas en:
www.pandaantivirus.com.ar/glosario

Más información sobre las Tecnologías TruPrevent en:

http://www.pandaantivirus.com.ar/truprevent

Fuente:
Panda Antivirus
Distribuidor Mayorista Panda Software Argentina

www.pandaantivirus.com.ar
Información de Panda Software.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática