Informe semanal sobre virus e intrusos.

En el primer informe de junio vamos a referirnos a seis gusanos -Plexus.A, Cult.J y cuatro variantes de Korgo-, y a Protoride.gen.

Informe semanal sobre virus e intrusos.Plexus.A se propaga a través de Internet, explotando -en los equipos que no han sido convenientemente actualizados- las vulnerabilidades RPC DCOM y LSASS, y enviándose a las direcciones que encuentra en la máquina local y en unidades mapeadas.

Plexus.A sobrescribe el fichero host, para que así el ordenador no pueda conectarse a determinadas direcciones de un fabricante de antivirus y, por lo tanto, el PC no pueda actualizar la protección que tenga instalada. Además, Plexus.A obtiene el directorio de ficheros compartidos de Kazaa para copiarse en él, al tiempo que también se copia en las carpetas compartidas de la red.

Cult.J se difunde por e-mail en un mensaje cuyo asunto es: “Hello, I sent you a beautiful love card. ^_*”, e incluye el fichero: “BEAUTIFULLOVE.PIF”. Cuando se ejecuta el citado archivo, este gusano manda una copia suya a una serie de direcciones, utilizando para ello su propio motor SMTP.

Cult.J se coloca residente en memoria e intenta conectarse a un canal de un servidor IRC. En la práctica, si consigue realizar la conexión, este código malicioso permite que un usuario malicioso utilice, de forma remota, el equipo al que ha afectado para realizar, entre otras, las siguientes acciones:

– Ataques a través de IRC.

– Envío de información confidencial y del sistema.

– Descarga y ejecución de archivos.

– Envío del gusano a otros canales de IRC.

Protoride.gen, por su parte, es una detección genérica de las variantes del gusano Protoride que pueden aparecer en el futuro. Los ejemplares de la citada familia de códigos maliciosos tienen las siguientes características:

– Se propagan a través de redes de ordenadores, realizando copias de sí mismos en los recursos compartidos a los que consiguen acceder.

– Se conectan, a través del puerto 6667, a un canal de IRC y permanecen a la espera de que un hacker envíe comandos de control remoto (para descargar y ejecutar ficheros, ocultar procesos activos, desinstalarse a sí mismo, etc.).

– Modifican una entrada en el Registro de Windows, que provoca que los ficheros con extensión EXE no se ejecuten. A su vez, esto impide el funcionamiento de determinadas aplicaciones.

Los siguientes gusanos que mencionamos hoy son las variantes C, D, E y F de Korgo, que se propagan a través de Internet aprovechándose, para ello, de la vulnerabilidad LSASS. Las cuatro abren el puerto 3067 y permanecen a la escucha del mismo. Asimismo, todas intentan conectarse a varios servidores de IRC, y están preparadas para evitar que el ordenador pueda ser apagado.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección:
www.pandaantivirus.com.ar/enciclopedia

Información adicional

– IRC (Chat IRC): conversaciones escritas a través de Internet (en las que, además, pueden transferirse ficheros), conocidas popularmente como “chat”.

– Residente/Virus residente: fichero o programa que se coloca en la memoria del ordenador, de forma permanente, controlando las operaciones realizadas en el sistema.

Más definiciones técnicas en: http://www.pandasoftware.es/virus_info/glosario/default.aspx

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Fuente:
Panda Antivirus
Distribuidor Mayorista Panda Software Argentina

www.pandaantivirus.com.ar
Información de Panda Software.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática