Informe semanal sobre virus e intrusos

En el informe sobre virus e intrusos de hoy vamos a ocuparnos de tres backdoors – Webber.S, Webber.P y Agent.E -, de dos troyanos – Bankhook.A y Scob.A -, y de tres nuevas variantes de Korgo.

Informe semanal sobre virus e intrusosWebber.S y Webber.P son dos backdoors que permiten acceder, de forma remota, a los ordenadores a los que afectan, de los que recogen información confidencial que posteriormente envían a diferentes sitios web. Entre las características que diferencian a las citadas variantes destacan:

– La forma de distribución.

La difusión de Webber.P se ha realizado mediante la introducción de cambios en la configuración de servidores web, que utilizan la versión 5.0 de Internet Information Services (IIS). En concreto, se han modificado para que incluyan, en las páginas que albergan, un código malicioso escrito en JavaScript que Panda Software detecta como Exploit/DialogArg. El citado exploit permite que Webber.P se descargue y se ejecute en el ordenador, aprovechándose para ello de una vulnerabilidad de Internet Explorer.

La distribución de Webber.S se realiza cuando el usuario visita determinadas páginas web, que incluyen un código malicioso escrito en JavaScript. Este código, a través de una vulnerabilidad de Internet Explorer, posibilita la descarga y ejecución de Webber.S en el PC, sin que el usuario sea consciente de ello.

– Webber.P abre dos puertos TCP para conseguir que el equipo funcione como servidor proxy.

El tercer backdoor al que nos referimos hoy es Agent.E, que llega al ordenador cuando el usuario visita determinadas páginas web. Este código malicioso instala en el equipo una Librería de Enlace Dinámico, que permite controlar algunas funciones del navegador Internet Explorer. Entre las acciones que Agent.E permite realizar se encuentran obtener información del sistema, acceder a archivos de determinadas aplicaciones, usar objetos para comunicación, etc.

Bankhook.A, por su parte, es un troyano que se instala en el equipo aprovechándose, para ello, de la vulnerabilidad MhtRedir de Internet Explorer. Se registra en el equipo al que afecta, para así ejecutarse cada vez que se utilice el citado navegador.

Bankhook.A busca, en el tráfico HTTPS que se genera en el PC, una serie de cadenas de texto referentes a entidades de banca online. Cuando encuentra una procede a robar la información asociada (nombre de usuario, contraseña de acceso, número de cuenta y tarjeta de crédito, etc.), y la envía -mediante un script- a un ordenador.

El segundo troyano que analizamos es Scob.A, que afecta a ordenadores con Windows XP/2000/NT y que funcionen como servidores web, al tener instalada la versión 5.0 de IIS. En la práctica, este código malicioso modifica la configuración de dicha aplicación para que en todos los archivos ofrecidos desde dichos servidores web se incluya el código Exploit/DialogArg.

Terminamos el presente informe con las variantes U, V y W de Korgo, que utilizan la vulnerabilidad de Windows LSASS para propagarse a través de Internet e introducirse automáticamente en los ordenadores. También afectan a todas las plataformas Windows, si bien sólo se introducen de forma automática en aquellos equipos que funcionen bajo Windows XP y 2000. Las tres se conectan a una serie de sitios web, de los que intentan descargar archivos. Además, envían a los mencionados sitios información sobre el país donde se encuentra el ordenador al que han afectado.

Korgo.U, Korgo.V y Korgo.W se colocan residentes en memoria y, a diferencia de otros ejemplares de malware que emplean la vulnerabilidad LSASS para afectar los equipos, no provocan la aparición de un mensaje de error con una cuenta atrás y el posterior reinicio del ordenador.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección:
www.pandaantivirus.com.ar/enciclopedia

Información adicional

– Backdoor / Puerta trasera: programa que se introduce en el ordenador y establece una puerta trasera a través de la cual es posible controlar el sistema afectado, sin conocimiento por parte del usuario.

– Internet Information Server (IIS): servidor de Microsoft destinado a la publicación, mantenimiento y gestión de páginas y portales web.

– Librería de enlace dinámico (DLL): tipo especial de fichero, con extensión DLL.

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Fuente:
Panda Antivirus
Distribuidor Mayorista Panda Software Argentina

www.pandaantivirus.com.ar
Información de Panda Software.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática