Informe semanal sobre virus e intrusos

El presente informe se ocupa de siete gusanos -cuatro variantes de Mydoom (la T, U, V y W ), Mywife.D, Mywife.C y Sdbot.AQA-, y de dos programas de tipo adware denominados Neededware y WUpd.

Mydoom.T, Mydoom.U, Mydoom.V y Mydoom.W se propagan por correo electrónico, en un mensaje escrito en inglés y de características variables. A su vez, la variante T también emplea el programa de intercambio de archivos punto a punto (P2P) Kazaa, copiándose -en el directorio compartido de esta aplicación-, con nombres sugerentes.

Las variantes U, V y W de Mydoom se conectan a varios sitios web, de los que intentan descargar un archivo -perteneciente a un backdoor-, para después instalarlo en el ordenador al que afectan. Mydoom.T, por su parte, abre el programa Notepad y muestra caracteres basura.

Los siguientes gusanos a los que nos referimos son Mywife.D y Mywife.C, que se difunden a través del correo electrónico en un mensaje de características variables. Además, ambos ejemplares comparten las siguientes características:

– Unos segundos después de su ejecución, bloquean el ordenador, ya que consumen todo el tiempo de trabajo disponible del procesador.

– Borran los archivos pertenecientes a diversos programas antivirus, que se encuentren en los mismos directorios que ambos gusanos tiene indicados por defecto. También eliminan las entradas del Registro de Windows pertenecientes a las referidas aplicaciones antivirus, impidiendo así que se ejecuten automáticamente la próxima vez que se inicie Windows. Además, buscan y finalizan los procesos correspondientes a programas antivirus y de seguridad, dejando así a los ordenadores a los que afectan vulnerables a los ataques de otros ejemplares de malware.

– Borran las entradas correspondientes a otros gusanos como, por ejemplo, Mydoom.A, Mimail.T y diferentes variantes de Bagle.

– Abren el programa Windows Media Player.

El séptimo gusano que analizamos es Sdbot.AQA, que se propaga a través de redes de ordenadores. Para ello, comprueba si el PC al que ha afectado se encuentra conectado a una red. En caso afirmativo, trata de acceder a los recursos compartidos -empleando para ello contraseñas que son típicas o fáciles de adivinar-, en los que se copia.

Sdbot.AQA permite a los hackers acceder, de manera remota, al ordenador para realizar en él acciones que comprometen la confidencialidad de los datos del usuario o dificultan su trabajo. Además, este gusano utiliza su propio cliente IRC para conectarse a un canal concreto y aceptar comandos de control (como, por ejemplo, lanzar ataques de Denegación de Servicio -DoS- contra páginas web). También puede descargar y ejecutar archivos en el equipo.

Finalizamos el informe de hoy con Neededware y WUpd, dos programas de tipo adware que permiten la descarga y ejecución de programas sin el consentimiento del usuario. Es fácil detectar su presencia en un equipo, ya que muestran mensajes con contenidos publicitarios. A su vez, WUpd monitoriza los hábitos de navegación en Internet del usuario, en base a los cuales hace que aparezcan en pantalla determinados anuncios.

Enciclopedia de Panda Software, disponible en la dirección:
www.pandaantivirus.com.ar/enciclopedia

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática