Informe semanal sobre virus e intrusos

Cuatro variantes de Netsky -W, X, Y y Z-, dos de Mydoom -I y J-, el gusano Zafi.A, Blaster.H, y un correo spam diseñado para descargar un troyano en el ordenador centran la atención del informe sobre virus e intrusos de la presente semana.

Las cuatro nuevas variantes de Netsky son muy similares entre sí. Todas ellas están diseñadas para propagarse en forma de archivos adjuntos a mensajes de correo electrónico, escritos en inglés y con características variables.

Entre las acciones que lleva a cabo Netsky.W se encuentra el borrado de las entradas del registro de Windows generadas como consecuencia del ataque de algunas variantes de los gusanos Mydoom, Mimail y Bagle. Por su parte, las variantes X, Y y Z intentan realizar ataques de denegación de servicio (DoS), contra determinadas páginas web.

La variante I del gusano Mydoom se propaga a través del correo electrónico en un mensaje escrito en inglés con características variables. Además, realiza ataques de denegación de servicio distribuido (DDoS) contra una página web.

Mydoom.J, además del correo electrónico, utiliza el programa de intercambio de ficheros punto a punto (P2P) KaZaA para propagarse. Como dato a destacar, este gusano utiliza una librería de enlace dinámico (DLL), previamente empleada por el gusano Bugbear.B y detectada por Panda Antivirus como Trj/PSW.Bugbear.B.

Una característica común de las variantes I y J de Mydoom es que los equipos afectados son fáciles de reconocer, puesto que, cuando son ejecutados, abren el bloc de notas de Windows mostrando un texto sin sentido.

Zafi.A es un gusano que se propaga a través de correo electrónico en un mensaje escrito en húngaro que siempre tiene el asunto kepeslap erkezett!. Este gusano termina los procesos pertenecientes a diversos programas antivirus y firewalls, consiguiendo que el ordenador sea vulnerable ante el ataque de otros tipos de malware.

Zafi.A deja de propagarse el 1 de mayo de 2004, si bien, a partir de esta fecha, muestra en pantalla un mensaje de contenido político.

Al igual que sus predecesores, Blaster.H hace uso de una vulnerabilidad de Windows conocida como “desbordamiento de búfer en interfaz RPC” (Buffer Overrun In RPC Interface) descubierta el pasado mes de julio. Así, el gusano puede introducirse, directamente desde Internet, en aquellos ordenadores cuyos sistemas no hayan sido convenientemente parcheados.

Una vez en el equipo, Blaster.H instala un backdoor en uno de los puertos de comunicaciones del ordenador, a través del cual puede realizar un gran número deacciones.

Por último, en esta semana se ha detectado el envío masivo de un spam (o correo electrónico no solicitado) que tiene como objetivo hacer que el usuario visite una supuesta página publicitaria que descarga un troyano en el ordenador.

Las características del mensaje son:

Remitente: el nombre es variable, si bien siempre simula proceder de las agencias de noticias BBC o CNN.

Asunto: “Osama Bin Laden Captured”,

Cuerpo de texto: “Hey, Just got this from CNN, Osama Bin Laden has been captured! Goto the link below to view the pics and to download the video if you so wish: (dirección de Internet) “Murderous coward he is”. God bless America!”.

En caso de que el usuario visite la dirección que indica el mensaje, se abrirá una página supuestamente publicitaria. Sin embargo, esa página contiene un código que aprovecha una vulnerabilidad (detectada por los antivirus de Panda como Exploit/MIE.CHM). A su vez, este código descarga y ejecuta un fichero (detectado como VBS/Psyme.C). Finalmente, éste baja desde Internet un archivo llamado EXPLOIT.EXE, que contiene al troyano Trj/Small.B.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software.

Información adicional
– Librería de enlace dinámico (DLL): es un tipo especial de fichero, con extensión DLL.

– Backdoor: es una puerta trasera a través de la cual es posible controlar el sistema afectado, sin conocimiento por parte del usuario.

Click para más definiciones técnicas

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática