Informe semanal sobre virus e intrusos

Un virus denominado Lovgate.AO y tres gusanos – Korgo.X, Evaman. A y Bagle.AD -, protagonizan el informe sobre virus e intrusos de esta semana.

Informe semanal sobre virus e intrusosLovgate.AO es un virus con características de gusano que se propaga a través
del correo electrónico, de unidades y de recursos compartidos de red, y
aprovechándose de la vulnerabilidad Saturación de buffer en interfaz RPC.
Afecta a ordenadores con Windows 2003/XP/2000/NT e infecta archivos con
extensión EXE, insertando su código al inicio y al final de los mismos.

En el equipo al que afecta, Lovgate.AO instala un backdoor que permanece a
la escucha de un puerto, que escoge aleatoriamente. Su objetivo es permitir
acceder, de forma remota, al ordenador y realizar en él acciones que
comprometen la confidencialidad de sus datos (ya que recoge información que
posteriormente envía a quien ha creado su código), o dificultan el trabajo
del usuario. Adicionalmente, si Lovgate.AO encuentra activos en memoria
determinados procesos -relacionados con programas antivirus y con otros
gusanos-, los termina.

El primer gusano al que nos referimos hoy es Korgo.X, que utiliza la
vulnerabilidad de Windows LSASS para propagarse a través de Internet e
introducirse automáticamente en los ordenadores. También afecta a todas las
plataformas Windows, si bien sólo se introduce de forma automática en
aquellos equipos que funcionen bajo Windows XP y 2000 y no han sido
convenientemente actualizados.

La variante X de Korgo se coloca residente en memoria y se conecta a una
serie de servidores IRC, de los que puede descargarse archivos para
posteriormente ejecutarlos en el PC al que afecta.

El siguiente gusano que analizamos hoy es Evaman.A. Se difunde, a través del
correo electrónico y en un e-mail escrito en inglés (que simula ser un
mensaje devuelto a causa de un supuesto error), a todas las direcciones que
encuentra en un determinado sitio web. En algunas ocasiones, cuando Evaman.A
es ejecutado por primera vez se abre el programa Notepad.

Finalizamos el presente informe con Bagle.AD, gusano que se propaga a través
del correo electrónico, en mensajes escritos en inglés y mediante programas
de intercambio de ficheros punto a punto (P2P).

Bagle.AD abre el puerto TCP 1234 y permanece a la escucha, a la espera de
que se realice una conexión remota. A través de ella, y hasta el 24 de enero
de 2005, permite acceder de forma remota al ordenador al que afecta, para
realizar en él acciones que comprometen la confidencialidad de los datos del
usuario o dificultan su trabajo. Para notificar a su creador que el PC es
accesible a través del puerto abierto, este código malicioso se conecta a un
sitio web que alberga un script PHP.

Bagle.AD elimina del Registro de Windows las entradas correspondientes a
algunas variantes del gusano Netsky, impidiendo así que se activen cuando se
inicia Windows. Asimismo, cuando es ejecutado, muestra en pantalla un falso
mensaje de error.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia
de Panda Software, disponible en la dirección:
www.pandaantivirus.com.ar/enciclopedia

Información adicional

– Cadena/Cadena de caracteres: secuencia de caracteres (de texto,
especiales, dígitos numéricos, signos de puntuación, o espacios en blanco)
consecutivos.

– Script/Virus de Script: el término script hace referencia a todos aquellos
ficheros o secciones de código escritas en algún lenguaje de programación,
como Visual Basic Script (VBScript), JavaScript, etc.

Fuente:
Panda Antivirus
Distribuidor Mayorista Panda Software Argentina

www.pandaantivirus.com.ar
Información de Panda Software.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática