Informe semanal sobre virus e intrusos.

Seis variantes de Korgo, el troyano Downloader.JH y una herramienta de hacking llamada IPScanner.A centran la atención del presente informe sobre virus e intrusos.

Informe semanal sobre virus e intrusos.Como sus predecesoras, las seis variantes de Korgo – la T, S, R, Q, P, O y N – a las que nos referimos hoy hacen uso de la vulnerabilidad de Windows LSASS. De esta forma, pueden propagarse a través de Internet e introducirse automáticamente en los ordenadores. También afectan a todas las plataformas Windows, si bien sólo se introducen de forma automática en aquellos equipos que funcionen bajo Windows XP y 2000.

Las variantes S, R, Q, P y O de Korgo se conectan a una serie de sitios web, de los que intentan descargar archivos. Además, envían a los mencionados sitios información sobre el país donde se encuentra el ordenador al que han afectado. Korgo.T, por su parte, abre el puerto TCP 3067 y permanece a la escucha del mismo, esperando recibir un fichero que ejecutar en el ordenador afectado. Asimismo, intenta conectarse a varios servidores IRC, para permitir la ejecución remota de comandos.

Para pasar desapercibidos, y a diferencia de otros ejemplares de malware que emplean la vulnerabilidad LSASS para afectar los equipos, las citadas variantes de Korgo no provocan la aparición de un mensaje de error con una cuenta atrás y el posterior reinicio del ordenador.

El troyano que analizamos en el presente informe es Downloader.JH, que obtiene información del ordenador al que afecta, en el que además descarga un dialer (que Panda Software detecta como Dialer.DA). Igualmente, en el equipo en el que se instala crea los siguientes archivos: D1K.EXE, OLE32WS.DLL y CAX.CAB.

Downloader.JH es difícil de reconocer a simple vista, ya que no muestra mensajes o avisos que alerten sobre su presencia. Para propagarse precisa la intervención del atacante que, para difundirlo, utilizará todo tipo de elementos (disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de ficheros punto a punto -P2P-, etc.).

Finalizamos el informe de hoy con IPScanner.A, programa que permite la monitorización de ordenadores que pertenezcan a una red basada en sistemas operativos de Microsoft. Esta herramienta de hacking no muestra mensajes o avisos que pongan de manifiesto su presencia en un equipo.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección: http://www.pandasoftware.es/virus_info/enciclopedia/

Información adicional

– Dialer: aplicación que suele utilizarse para redirigir, de forma maliciosa, las conexiones mientras se navega por Internet. Su objetivo es colgar la conexión telefónica que se está utilizando en ese momento (la que permite el acceso a Internet, mediante el marcado de un determinado número de teléfono) y establecer otra, marcando un número de teléfono de tarifa especial. Esto supondrá un notable aumento del importe en la factura telefónica.

– Herramienta de hacking: programa que puede ser utilizado por un hacker para causar perjuicios a los usuarios de un ordenador (como permitir el control del ordenador afectado, obtener información confidencial, etc.).

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Fuente:
Panda Antivirus
Distribuidor Mayorista Panda Software Argentina

www.pandaantivirus.com.ar
Información de Panda Software.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática