Informe semanal sobre virus e intrusos

Cuatro gusanos informáticos centran el informe de virus e intrusos de la presente semana: las variantes AG y AH de Bagle, Mydoom.M y Lovgate.AQ.

Bagle.AG y Bagle.AH son dos gusanos muy similares que afectan a ordenadores que funcionan bajo los sistemas operativos Windows XP, 2000 o NT. Ambos códigos maliciosos se propagan en mensajes de correo electrónico de características variables. Para ello, recogen direcciones en una gran variedad de archivos a las que se envían utilizando su propio motor SMTP.

Una vez instaladas en el ordenador, las dos nuevas variantes de Bagle abren un puerto TCP y permanecen a la escucha, en espera de que se realice una conexión remota. De esta manera, un atacante puede tener acceso al ordenador afectado, pudiendo realizar en el mismo acciones que comprometan la confidencialidad del usuario o dificulten su trabajo.

Uno de los más peligrosos efectos de ambos gusanos es su capacidad para finalizar procesos correspondientes a programas antivirus y de seguridad, lo que deja a los equipos desprotegidos frente a otros posibles ataques.

Bagle.AG y Bagle.AH se conectan a determinadas páginas web que albergan un script PHP a través del cual pueden, por ejemplo, enviar los datos robados en los ordenadores afectados. Asimismo, eliminan las entradas del registro de Windows generadas tras la infección por parte de diversas variantes de la familia de gusanos Netsky.

El gusano Mydoom.M está programado para enviarse a través de correo electrónico -en mensajes con características variables- y empleando programas de intercambio de archivos punto a punto (P2P).

Una vez en el sistema, Mydoom.M instala una librería de enlace dinámico (DLL) que abre el puerto TCP 1042, actuando así como un backdoor que un atacante puede utilizar para acceder al ordenador afectado. Además, dicha librería finaliza procesos relacionados con programas antivirus y herramientas de monitorización del sistema.

Por último, Lovgate.AQ es un gusano con funcionalidades backdoor que puede emplear diversas técnicas de propagación: mensajes de correo electrónico, el programa de intercambio de ficheros Kazaa, recursos compartidos de red, etc.

Lovgate.AQ abre un puerto de comunicación en el ordenador afectado. Tras ello, envía un mensaje de correo a un usuario remoto, notificando que el ordenador ha sido afectado y es accesible a través del puerto abierto.

Además, el gusano intenta conseguir por el método de la “fuerza bruta” la contraseña de acceso del administrador del equipo.

De manera adicional, Lovgate.AQ trata de terminar procesos en memoria que estén relacionados con la infección por parte de diversos gusanos.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección: http://pandaantivirus.com.ar/enciclopedia

Fuente:
Panda Antivirus
Distribuidor Mayorista Panda Software Argentina

www.pandaantivirus.com.ar
Información de Panda Software.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática