Informe semanal sobre virus e intrusos.

El presente informe sobre virus e intrusos centra su atención en dos gusanos de la misma familia – Mydoom.S y Mydoom.R -, y en un backdoor íntimamente ligado a ellos: Surila.B.

Las variantes S y R de Mydoom comparten, entre otras, las siguientes características:

– Se propagan a través del correo electrónico en un mensaje escrito en inglés, que tiene como asunto el texto “photos” e incluye un archivo adjunto llamado “PHOTOS_ARC.EXE”. Cuando el usuario ejecuta el citado fichero, descargan y ejecutan un backdoor que Panda Software detecta como Surila.B.

– Abren varios puertos y permanecen a la escucha, con el objetivo de permitir a un atacante acceder al ordenador afectado y realizar en él acciones (que comprometen la confidencialidad de los datos del usuario o dificultan su trabajo).

– Impiden que el usuario pueda acceder a las páginas web de determinadas compañías antivirus.

– Crean el mutex 43jfds93872, para así asegurarse de que no hay más de una copia suya ejecutándose simultáneamente.

– Buscan -en los archivos cuya extensión sea: ADB, ASP, DBX, HTM, PHP, PL, SHT, TBB, TXT o WAB-, direcciones de correo. Si contienen determinadas cadenas de texto, las citadas variantes de Mydoom les envían una copia suya, utilizando para ello su propio motor SMTP.

Entre los elementos que diferencian a Mydoom.S de Mydoom.R destacan el tamaño del fichero que los contienen, y el del archivo RASOR38A.DLL (que cada uno de ellos crea en el equipo al que afectan).

Terminamos el informe de hoy con Surila.B. Como se ha mencionado anteriormente, se trata de un backdoor que descargan y ejecutan Mydoom.S y Mydoom.R.

Surila.B afecta a ordenadores con Windows 2003/XP/2000/NT, permitiendo acceder a ellos y realizar diversas acciones, como mandar spam falsificando la dirección de correo desde la que es enviado. Para ello, dispone de una lista de falsos nombres y apellidos, a los que une un dominio de correo que puede ser uno de los siguientes: aol.com, gmx.net, hotmail.com, mail.com, msn.com, t-online.de, yahoo.co.uk y yahoo.com.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección:
www.pandaantivirus.com.ar/enciclopedia

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática