Informe semanal sobre virus e intrusos.

Sin duda, la presente semana ha estado protagonizada por la epidemia provocada a causa de la aparición de cuatro variantes del gusano Sasser. Sin embargo, otros códigos maliciosos han hecho su aparición durante estos días. Así, en el presente informe de virus, además de a los ya mencionados gusanos, nos referiremos también a Netsky.AC, a tres nuevas herramientas de hacking llamadas DSScan, JohnTheRipper y Brutus.A, así como al troyano Briss.A.

Informe semanal sobre virus e intrusos.La aparición de las variantes A, B, C y D del gusano Sasser ha sido el origen de una epidemia de considerables dimensiones que ha afectado a usuarios de todo el mundo. Estos códigos maliciosos han sido diseñados para aprovechar una vulnerabilidad conocida como LSASS recientemente descubierta en algunas versiones de Windows. Así, no necesitan emplear vías de propagación tradicionales para infectar los ordenadores, ya que son capaces de introducirse en ellos directamente a través de Internet. Los cuatro gusanos Sasser son muy similares, y se diferencian en aspectos tales como el nombre de los archivos que crean en el sistema, o en el número de procesos en memoria que inician para poder propagarse.

Los gusanos Sasser provocan un desbordamiento de buffer que tiene como resultado el reinicio del ordenador atacado cada 60 segundos. Para resolver este problema, además de detectar y desinfectar el sistema con un antivirus actualizado, es absolutamente necesario instalar el parche proporcionado por Microsoft para corregir la mencionada vulnerabilidad y que puede ser descargado desde http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx.

Dado que los ordenadores se reinician de forma continuada cada minuto, es posible que no se disponga del tiempo suficiente para eliminar al gusano del PC y descargar el parche de Microsoft. Para evitar este inconveniente, una de las opciones que los usuarios tienen a su alcance para llevar a cabo ambas acciones consiste en atrasar la hora del reloj del sistema, realizando los pasos que se mencionan a continuación:

– Cuando aparezca la ventana indicando que el sistema va a reiniciarse, hacer doble click sobre las cifras horarias que se muestran en la parte inferior derecha del monitor.

– Tras abrirse la pantalla de configuración horaria poner, en el recuadro en el que aparece la hora y minutos, unas horas de retraso respecto a la que aparece.

Además, Panda Software ha puesto a disposición de los usuarios varias herramientas de desinfección PQRemove. Estas aplicaciones no solamente limpian los equipos que hayan podido resultar afectados por virus; también restauran las condiciones que tenían antes de sufrir el ataque.

Uno de los PQRemove es específico para redes, y elimina a Sasser y a todas sus variantes, de cualquier red que haya podido resultar afectada. Puede accederse a él desde http://www.pandasoftware.es/soporte/ . El resto de aplicaciones PQRemove limpian cualquier ordenador que haya podido resultar infectado por alguno de los gusanos Sasser. Puede conseguirlas en la dirección http://www.pandasoftware.es/descargas/utilidades/

Por su parte, Netsky.AC es una nueva variante de esta familia de gusanos de correo electrónico que viene azotando Internet desde hace meses. Sin embargo, su interés radica en el mensaje que se oculta en su código, haciendo alusión a que los creadores de los gusanos Netsky son los mismos que han programado a los gusanos Sasser:

Hey, av firms, do you know that we have programmed the sasser virus?!?. Yeah thats true! Why do you have named it sasser? A Tip: Compare the FTP-Server code with the one from Skynet.V!!! LooL! We are the Skynet…’

Here is an part of the sasser sourcecode you named so, lol

(Hey, compañías antivirus ¿sabéis que hemos programado el virus sasser? ¡Si, es verdad! ¿Por qué le habéis llamado sasser? Una pista: comparad el código del servidor FTP con el de Skynet.V. Somos los Skynet…

Aquí está una parte del código fuente de sasser).

Sin embargo, mientras la detención de los delincuentes que han creado estos códigos maliciosos no llegue a término, los usuarios deben seguir en guardia ante la más que previsible aparición de nuevos virus. Teniendo en cuenta la forma en que se han llevado a cabo los ataques anteriores, es muy probable que los autores de los gusanos Sasser y Netsky estén finalizando la creación de algún código maligno extremadamente peligroso que -tal y como han hecho hasta ahora- pondrían en circulación durante el fin de semana.

Según Luis Corrons, director de PandaLabs: “Podría ser que el nuevo intento sea la creación de algún virus que combinase la propagación a través de correo electrónico con el aprovechamiento de la vulnerabilidad LSASS. De esta manera, podrían saltarse la protección de los firewall que impiden la entrada de los gusanos Sasser. Esto sería especialmente peligroso para las empresas que, confiadas en la protección de los firewall, no hayan instalado los parches de Microsoft”.

DSScan.A, JohnTheRipper y Brutus.A son tres nuevas herramientas de hacking. Se trata de aplicaciones legítimas, teóricamente diseñadas sin ánimo de causar daño. Sin embargo, por sus funcionalidades, pueden ser empleadas por hackers para llevar a cabo acciones maliciosas.

DSScan.A es una herramienta de red que permite detectar los ordenadores afectados por la vulnerabilidad LSASS. Por su parte, JohnTheRipper.A permite obtener contraseñas en ordenadores con sistemas operativos Unix o Windows.

Brutus.A es un programa que permite averiguar contraseñas por el método de la fuerza bruta, es decir, probando sucesivamente cada una de las posibilidades existentes hasta dar con la correcta.

Finalmente, Briss.A es un troyano que se coloca residente en memoria y que cada 24 horas instala en el ordenador otros malware sin consentimiento del usuario. Además, posee otras funcionalidades como la detección de las pulsaciones de determinadas combinaciones de teclas.

Como otros muchos troyanos, Briss.A no puede propagarse por sus propios medios, sino que precisa de la intervención de un usuario malicioso. Para ello, los medios empleados pueden ser -entre otros-: disquetes, mensajes de correo electrónico con ficheros adjuntos, descargas de Internet, etc.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección: http://www.pandasoftware.es/virus_info/enciclopedia/

Información adicional

– Troyano/Caballo de Troya: en sentido estricto, un troyano no es un virus, aunque se considere como tal. Realmente se trata de un programa que llega al ordenador de manera encubierta, aparentando ser inofensivo, se instala y realiza determinadas acciones que afectan a la confidencialidad del usuario afectado.

– Vulnerabilidades: fallos o huecos de seguridad detectados en algún programa o sistema informático, que los virus utilizan para propagarse e infectar.

Más definiciones técnicas en: http://www.pandasoftware.es/virus_info/glosario/default.aspx

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Fuente:
Panda Antivirus
Distribuidor Mayorista Panda Software Argentina

www.pandaantivirus.com.ar
Información de Panda Software.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática