Informe semanal sobre virus e intrusos.

En el informe de hoy vamos a mencionar, en primer lugar, a Mydoom.A, que apareció el 27 de enero y ha continuado difundiéndose masivamente. Después nos referiremos a cinco ejemplares totalmente diferentes: Mimail.T, Sdbot.MH, Gaobot.DQ, X-Scan.A y Y2k.

Aunque el número de infecciones de Mydoom.A se estabilizó a principios de esta semana, el porcentaje de equipos afectados continuaba siendo elevado, superando casi cinco veces al de Downloader.L, segundo virus más frecuentemente detectado por Panda ActiveScan – www.ActiveScan.com.ar

Mydoom.A ha sido el código malicioso que más rápidamente se ha propagado en la historia de la Informática, hasta el punto de provocar la mayor epidemia vírica conocida hasta la fecha. Como se recordará, se difunde a través del correo electrónico en un mensaje con características variables y a través del programa de ficheros compartidos (P2P) KaZaA. Si la fecha del sistema se encuentra entre el 1 y el 12 de febrero de 2004, realiza ataques de Denegación de Servicio Distribuida (DDoS) contra la página web www.sco.com. A partir del 12 de febrero de 2004, Mydoom.A finaliza sus efectos, terminando su ejecución cada vez que sea activado.

La variante T del gusano Mimail ha sido enviado por correo electrónico en un mensaje que tiene características variables, e incluye un fichero comprimido -protegido con contraseña-, que contiene su código. Periódicamente comprueba si tiene conexión a Internet, intentando acceder a la página www.google.com. Además, para no mostrarse en el listado de procesos del Administrador de tareas, Mimail.T se registra a sí mismo como un servicio de Windows.

El tercer ejemplar al que nos referimos hoy es Sdbot.MH. Es un backdoor que, una vez ejecutado, se coloca residente en memoria y se conecta a un servidor, para acceder a un canal IRC específico y recibir comandos de control (como, por ejemplo, descargar y ejecutar ficheros, escanear puertos, etc.).

Gaobot.DQ, por su parte, es un gusano que afecta a ordenadores con sistemas operativos Windows 2003/XP/2000/NT. Se difunde realizando copias de sí mismo en los recursos compartidos de red a los que logra acceder, y mediante el aprovechamiento de las vulnerabilidades RPC Locator, RPC DCOM y WebDAV. De hecho, un claro síntoma de la presencia de Gaobot.DQ en un equipo es el considerable aumento del tráfico de red a través de los puertos TCP 135 y 445, debido a sus intentos de aprovechar los citados problemas de seguridad.

Tras ser ejecutado, Gaobot.DQ se conecta a un servidor IRC determinado y espera órdenes de control. También finaliza procesos pertenecientes a programas antivirus, a firewalls, a herramientas de monitorización del sistema, y a códigos maliciosos como Nachi.A y Sobig.F.

X-Scan.A es una herramienta de hacking que analiza ordenadores y redes en busca de vulnerabilidades y, si encuentra alguno, registra todas las pulsaciones de teclado introducidas durante la sesión. Del equipo al que afecta obtiene numerosos datos, como el tipo y la versión del sistema operativo, estado de los puertos estándar, información del Registro de Windows y de los protocolos SNMP/NETBIOS, vulnerabilidades CGI/IIS/RPC, servidores SQL/FTP/SMTP/POP3, etc.

Terminamos el presente informe con Y2k, joke que muestra en pantalla un mensaje que simula realizar un análisis para comprobar que el ordenador es compatible con la llegada del año 2000. Mientras se realiza la verificación lleva a cabo varias acciones, como abrir y cerrar la bandeja del CD-ROM, hacer parpadear la pantalla, cambiar el puntero del ratón, etc. Tras finalizar el análisis, Y2k informa al usuario de que se ha encontrado una irregularidad en el altavoz interno y que, sino se subsana, el ordenador no podrá encenderse durante todo el año 2000. Finalmente, cuando termina su ejecución, este joke avisa que todo el proceso ha sido una broma.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Virus de Panda Software.

Información adicional

– Herramienta de hacking: programa que puede ser utilizado por un hacker para perjudicar a los usuarios de un ordenador (controlando el equipo al que afectan, obteniendo información confidencial, chequeando puertos de comunicaciones, etc.).

– POP (Post Office Protocol): protocolo para recibir y obtener los mensajes de correo electrónico.

Más definiciones técnicas en: http://www.pandasoftware.es/virus_info/glosario/default.aspx

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Fuente:
Panda Antivirus
Distribuidor Mayorista Panda Software Argentina

www.pandaantivirus.com.ar
Información de Panda Software.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática