Informe semanal sobre virus e intrusos.

El informe centra su atención en Constructor/EMFTrojan.C, Netsky.AH, Netsky.AI, Bagz.E, Mydoom.AD y Scranor.A.

Informe semanal sobre virus e intrusos.Constructor/EMFTrojan.C es un programa que crea imágenes mal construidas, que intentan aprovechar la vulnerabilidad de ejecución remota de código en la interpretación de formatos de imagen Enhanced Metafile (EMF), descrita en el boletín MS04-032 de Microsoft.

Para configurar el código que se genera, Constructor/EMFTrojan ofrece varias opciones, permitiendo elegir si, cuando se abre la imagen, se lleva a cabo una de las siguientes acciones:

– Apertura de un puerto, a través del cual pueden enviarse comandos al equipo afectado.

– Descarga, desde una URL especificada, de un archivo y posterior ejecución del mismo.

Para proteger los equipos de la citada amenaza, y de otras similares, Panda Software ha desarrollado Exploit/MS04-032.gen, que es una detección genérica para las imágenes EMF construidas para aprovechar la citada vulnerabilidad.

Los primeros gusanos que mencionamos hoy son las variantes AH y AI de Nestky, que se envían por correo electrónico, utilizando su propio motor SMTP, a las direcciones que obtienen en los ficheros que ocupen menos de 10.000.000 bytes y cuya extensión sea una de las siguientes: DBX, WAB, MBX, EML, MDB, TBB y DAT. Se mandan 10 minutos después de haber sido ejecutados y su difusión está condicionada a la fecha, ya que sólo se envían del 20 al 25 de octubre de 2.004. Además, para evitar varias ejecuciones simultáneas, Nestky.AH y Netsky.AI crean el mutex “0x452A561C”.

El siguiente gusano del presente informe es Bagz.E, que se propaga a través del correo electrónico, en un mensaje de correo electrónico escrito en inglés y de características variables. Finaliza procesos pertenecientes a programas de seguridad -como antivirus-, lo que deja al ordenador al que ha afectado indefenso frente al ataque de otros ejemplares de malware.

En el directorio de Windows del equipo al que afecta, Bagz.E crea varios archivos. Asimismo, este gusano modifica el archivo HOSTS, impidiendo así el acceso a páginas web pertenecientes a varias compañías antivirus y de seguridad informática.

Mydoom.AD, por su parte, se difunde a través del correo electrónico en un mensaje de características variables y escrito en inglés. En la práctica, falsifica la dirección del remitente del mensaje en el que se manda, combinando una lista de nombres y dominios.

Empleando su propio motor SMTP, Mydoom.AD envía una copia de sí mismo a todas las direcciones que ha recogido en archivos con las siguientes extensiones (que no contengan determinadas cadenas de texto): ADB, ASP, CFG, CGI, DBX, EML, HTM, HTML, JSP, MBX, MDX, MSG, PHP, PL, SHT, TBB, TXT, UIN, VBS, WAB, WSH, XLS y XML.

Para asegurarse de que de forma simultánea no se ejecutará más de una copia suya, Mydoom.AD crea un mutex llamado My-Game. Como el anterior gusano mencionado en este informe, Mydoom.AD también modifica el archivo HOSTS, impidiendo al equipo al que afecta acceder a las páginas web de determinadas compañías antivirus.

La variante AD de Mydoom intenta descargar, desde una página web, un archivo correspondiente a otro gusano denominado Scranor.A. En concreto, guarda el archivo que lo contiene en el directorio raíz, lo renombra y lo ejecuta.

Finalizamos con Scranor.A, gusano que se reproduce creando copias de sí mismo, sin infectar otros ficheros. Su objetivo fundamental es colapsar los ordenadores y las redes, impidiendo así que puedan utilizarse.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección:

Información adicional

– SMTP (Simple Mail Transfer Protocol): protocolo que se utiliza en Internet para el envío (exclusivamente) de correo electrónico.

Más definiciones técnicas en:

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia
de Panda Software:
www.pandaantivirus.com.ar/enciclopedia

Antivirus Online Gratis y Actualizado al día con la última tecnología:
www.ActiveScan.com.ar

Controle en el nivel de protección de su antivirus:
www.antiviruschecker.com.ar

Más definiciones técnicas en:
www.pandaantivirus.com.ar/glosario

Fuente:
Panda Antivirus
Distribuidor Mayorista Panda Software Argentina

www.pandaantivirus.com.ar
Información de Panda Software.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática