Informe semanal sobre virus e intrusos.

Dos gusanos – Noomy.A y Bagle.BB -, y a un troyano denominado HardFull.A.

Informe semanal sobre virus e intrusos.Noomy.A se propaga a través del correo electrónico y de IRC. Cuando lo hace
por e-mail se envía a direcciones que no contienen ciertas subcadenas y que
obtiene en ficheros cuya extensión es: .dbx, .htm, .html o .php. Por otra
parte, cuando se manda por IRC, Noomy.A implementa su propio servidor HTTP y
envía varios mensajes a canales IRC que tiene codificados, junto con enlaces
que invitan a conectarse al servidor HTTP del ordenador infectado. En la
práctica, al acceder a los enlaces, se abre una página desde donde pueden
descargase las copias del gusano.

La propagación y el payload de Noomy.A dependen de la fecha en la que se
ejecuta y del tipo de conexión a Internet utilizada. Entre las acciones que
puede llevar a cabo este gusano destacan las siguientes:

– Finaliza procesos pertenecientes a herramientas de seguridad -como, por
ejemplo, programas antivirus y cortafuegos-, dejando así al equipo
vulnerable al ataque de otros ejemplares de malware.

– Ataque de denegación de servicio, mediante el comando ping, a varios
sitios entre los que se encuentra el de Microsoft.

– Se conecta a un enlace para enviar datos del PC, como hora y fecha del
sistema, si utiliza mswinsck.ocx, servidor SMTP y usuario de correo que
utiliza Outlook.

Tras ser ejecutado Noomy.A muestra un mensaje en pantalla, por lo que su
presencia en un equipo es fácilmente reconocible.

El segundo gusano del presente informe es Bagle.BB, que se difunde a través
del correo electrónico -en un mensaje escrito en inglés y de características
variables-, y de programas de intercambio de archivos punto a punto (P2P).

Bagle.BB abre el puerto TCP 81 y permanece a la escucha, a la espera de que
se realice una conexión remota. A través de ella, permite acceder -de forma
remota- al ordenador al que afecta, para realizar en él acciones que pueden
comprometer la confidencialidad de los datos del usuario o dificultar su
trabajo.

Bagle.BB termina procesos pertenecientes a herramientas de seguridad como,
por ejemplo, programas antivirus, dejando así al equipo indefenso a los
ataques de otro malware. Además, Bagle.BB elimina del Registro de Windows
las entradas correspondientes a variantes del gusano Netsky, evitando así
que se ejecuten cuando se inicia el equipo.

Finalizamos el presente informe con HardFull.A, troyano que no se propaga
automáticamente por sus propios medios, ya que precisa de la intervención
del atacante para ello. Los medios empleados para difundirlo son variados e
incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico
con archivos adjuntos, descargas de Internet, etc.

HardFull.A crea un archivo que se llena a sí mismo con el texto
Win32.Delf.du_Ful, incrementando así su tamaño hasta que ocupa todo el
espacio disponible en el disco duro, provocando la ralentización e incluso
el bloqueo del equipo. Igualmente, este troyano desactiva las herramientas
de edición del Registro de Windows, y las opciones “Ejecutar” y “Buscar” del
menú Inicio.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia
de Panda Software, disponible en la dirección:
www.pandaantivirus.com.ar/enciclopedia

Información adicional

– Payload: efectos producidos por un virus.

– Registro de Windows (Registry): fichero que almacena todos los valores de
configuración e instalación de los programas que se encuentran instalados y
de la propia definición del sistema operativo Windows.

Más definiciones técnicas en:
www.pandaantivirus.com.ar/glosario

Fuente:
Panda Antivirus
Distribuidor Mayorista Panda Software Argentina

www.pandaantivirus.com.ar
Información de Panda Software.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática