Informe semanal sobre virus e intrusos por Panda Software.

De nuevo, el informe sobre virus e intrusos vuelve a estar protagonizado por nuevas variantes -5 de Bagle y dos de Netsky- de los últimos gusanos aparecidos.

Informe semanal sobre virus e intrusos por Panda Software.Las primeras variantes de Bagle a las que vamos a referirnos son la O y la N, que comparten varias características, de las que destacan las siguientes:

– Se propagan a través del correo electrónico en un mensaje escrito en inglés con características variables, que contiene un fichero adjunto (que en la variante O tiene un icono similar al del Notepad, mientras en la N es parecido al de las fuentes True Type). Además, ambos se difunden a través de los programas de intercambio de ficheros punto a punto (P2P).

– Infectan ficheros PE, incrementando su tamaño (en el caso de la variante O el incremento es de 44 Kbytes, y en la N asciende a 21 Kbytes).

– Contienen un backdoor, que abre el puerto TCP 2556.

– Terminan los procesos correspondientes a diversos programas, entre los que se hallan antivirus, firewalls y herramientas de monitorización del sistema. También finalizan otros procesos, relacionados con variantes anteriores de los gusanos Bagle y Netsky.

– Sólo se ejecutan si la fecha del sistema es menor o igual al 31 de diciembre de 2005.

Los principales elementos que diferencian a las mencionadas variantes de Bagle son:

– Bagle.O contiene en su interior un texto, que no es mostrado en ningún momento y presenta la imagen de una mariposa.

– Bagle.N es un código malicioso polimórfico.

– Su tamaño, cuando están comprimidos y descomprimidos: el de Bagle.O es 23558 y 44189 bytes, y el de la variante N es 20650 y 38570 bytes, respectivamente.

Las otras tres variantes de Bagle que mencionamos hoy son la Q, la R y la S, de las cuales la primera y la última infectan ficheros. A su vez, Bagle.Q intenta descargar un fichero desde internet para luego ejecutarlo en la máquina a la que afecta. Según los datos de PandaLabs, esta variante se ha propagado ampliamente.

Los siguientes gusanos a los que nos referimos hoy son Netsky.N y Netsky.O. Se envían por correo electrónico, utilizando su propio motor SMTP, a todas las direcciones que encuentren en archivos que tengan una determinada extensión. A su vez, en el equipo al que afectan, crean varios ficheros -algunos de ellos en formato MIME-, y borran las entradas pertenecientes a varios gusanos, entre los que se encuentran Mydoom y Bagle. Además, generan un mutex, para evitar varias ejecuciones simultáneas.

Entre los aspectos que diferencian a la variante N de la O de Netsky destacan los textos de los mensajes en los que se envían, los archivos que copian en el equipo al que afectan y la entrada de registro que generan en el mismo.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección:
www.pandaantivirus.com.ar/enciclopedia

Información adicional

– MIME (Multipurpose Internet Mail Extensions -Extensiones Multipropósito del Correo Internet-): conjunto de especificaciones que permite intercambiar texto y ficheros con juegos de caracteres distintos (entre ordenadores con idiomas diferentes, por ejemplo).

– PE (Portable Ejecutable): término que hace referencia al formato de ciertos programas.

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Fuente:
Panda Antivirus
Distribuidor Mayorista Panda Software Argentina

www.pandaantivirus.com.ar
Información de Panda Software.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática