Informe semanal sobre virus e intrusos

El informe de hoy está protagonizado por la variante AM de Bagle y por los troyanos: Leritand.A, Leritand.B, Leritand.C, y Toquimos.A.

Informe semanal sobre virus e intrusosBagle.AM apareció a principios de esta semana y, en un breve espacio de
tiempo, afectó a numerosos equipos. Se propaga a través del correo
electrónico en un mensaje escrito en inglés que carece de asunto, e incluye
un archivo cuyo nombre es variable y tiene extensión ZIP. El fichero integra
dos elementos:

– Illwill.A, archivo HTML que contiene un exploit que Bagle.AM utiliza para
afectar al ordenador sin que el usuario se dé cuenta.

– Un archivo EXE, que es ejecutado cuando el usuario abre el archivo
Illwill.A.

Una vez que ha afectado un ordenador, Bagle.AM intenta descargar un falso
archivo JPG desde diversos sitios web y, si lo consigue, empieza a
difundirse. Adicionalmente, Bagle.AM se propaga a través de programas de
intercambio de archivos punto a punto (P2P).

En el equipo al que afecta, Bagle.AM abre un puerto TCP y permanece a la
escucha, permitiendo a un hacker acceder al ordenador. Asimismo, este gusano
finaliza procesos pertenecientes a diversas aplicaciones entre las que se
encuentran programas de actualización de antivirus, lo que impide que puedan
ofrecer protección contra virus de nueva aparición. Asimismo, si el equipo
está afectado por alguna variante del gusano Netsky, Bagle.AM evita que se
ejecute cuando se inicia Windows.

Leritand.A, Leritand.B y Leritand.C son troyanos que cambian el prefijo de
las direcciones web que comienzan por www, redireccionándolas a un sitio web
que se encarga de abrir la página web originalmente solicitada por el
usuario. Además, este código malicioso desactiva los manipuladores URL de
los protocolos its, ms-its y mhtml, lo que puede provocar que algunos
sistemas de ayuda no funcionen. Adicionalmente, estos troyanos cambian la
página de inicio y de búsqueda por defecto del navegador Internet Explorer,
y añaden enlaces a la carpeta Favoritos.

Finalizamos el informe de hoy con Toquimos.A, troyano que únicamente afecta
a teléfonos móviles Nokia serie 60. No se propaga por sí mismo, ya que debe
ser instalado y ejecutado por el usuario. Su medio de distribución más
frecuente son las redes de intercambio de archivos punto a punto (P2P).

Tras ser ejecutado, Toquimos.A comprueba si el teléfono tiene instalada la
versión pirata de un juego. Si es así manda, sin consentimiento del usuario,
un mensaje SMS a un número de teléfono de tarifa especial. El citado mensaje
SMS es enviado cada vez que se ejecuta el juego.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia
de Panda Software, disponible en la dirección:
www.pandaantivirus.com.ar/enciclopedia

Información adicional

– Exploit: técnica o programa que aprovecha un fallo o hueco de seguridad
-una vulnerabilidad- existente en un determinado protocolo de
comunicaciones, sistema operativo, o herramienta informática.

– P2P (Peer to peer): programas -o conexiones de red- empleados para prestar
servicios a través de Internet (intercambio de ficheros, generalmente), que
los virus y otros tipos de amenazas utilizan para distribuirse. Algunos
ejemplos de estos programas son KaZaA, Emule, eDonkey, etc.

Más definiciones técnicas en:

http://www.pandasoftware.es/virus_info/glosario/default.aspx

Fuente:
Panda Antivirus
Distribuidor Mayorista Panda Software Argentina

www.pandaantivirus.com.ar
Información de Panda Software.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática