Informe semanal sobre virus e intrusos por Panda Software.

Nueve gusanos, un troyano, una herramienta de hacking y un adware integran el informe semanal sobre virus e intrusos de la presente semana.

Siete de los nueve gusanos a los que nos referimos hoy están relacionados con Mydoom, tal y como se menciona en el breve análisis de cada uno de ellos que aparece a continuación.

– DoomHunter.A se introduce en los equipos por los puertos que Mydoom.A y Mydoom.B dejan abiertos y, si detecta la presencia de dichos gusanos, de Blaster o de Doomjuice, los elimina. Además, intenta abrir el puerto TCP 3127 y, si lo consigue, permanece a la escucha hasta que un ordenador -que haya sido afectado por Mydoom.A o Mydoom.B- trata de acceder a través del mismo. Cuando esto sucede, DoomHunter.A envía una copia de sí mismo a la dirección IP del equipo que ha detectado, se ejecuta y procede a tratar de desinfectarlo de los dos gusanos mencionados anteriormente.

– Mitglieder.A accede -a través de la puerta trasera creada por las variantes A y B de Mydoom- a los sistemas, en los que se copia con el nombre “system.exe”. Además, Mitglieder.A detiene los procesos en memoria de diversos programas, y asegura su presencia en el equipo al que afecta generando una entrada en el registro de Windows.

– Deadhat.A y Deadhat.B se propagan a través del programa de intercambio de ficheros punto a punto (P2P) SoulSeek y de Internet. Provocan problemas de arranque, ya que borran ficheros que son fundamentales para el correcto funcionamiento del ordenador, y finalizan procesos relacionados con algunos programas antivirus y firewalls. Igualmente, terminan los procesos correspondientes a Mydoom.A y Mydoom.B.

Tanto Deadhat.A como Deadhat.B abren el puerto TCP 2766 y se conectan a un servidor IRC, permaneciendo a la espera de recibir órdenes de control que llevar a cabo en el PC afectado. Asimismo, permiten descargar ficheros en el ordenador por medio de una conexión remota. Por contra, ambos gusanos se diferencian en aspectos como su tamaño, y el fichero que generan en el equipo al que afectan.

– Nachi.B sólo afecta a ordenadores con sistemas operativos Windows XP/2000/NT y, para difundirse al mayor número de ordenadores posible, aprovecha las vulnerabilidades conocidas como Desbordamiento de buffer en interfaz RPC, WebDAV y Desbordamiento de buffer en servicio Workstation. En concreto, se propaga atacando ordenadores -en los que intenta aprovechar los problemas de seguridad anteriormente mencionados- para descargar en el PC una copia de sí mismo. Cuando la fecha del sistema es 1 de junio de 2004 o posterior, este gusano se borra a sí mismo.

Nachi.B es capaz de desinstalar a Mydoom.A y a Mydoom.B, finalizando sus procesos y borrando sus ficheros asociados.

– Doomjuice.A y Doomjuice.B se propagan a través de Internet, utilizando para ello los puertos que Mydoom.A y Mydoom.B dejan abiertos en los equipos a los que afectan. A su vez, ambos códigos maliciosos lanzan ataques de Denegación de Servicio Distribuida (DDoS) contra el sitio www.microsoft.com.

La variante B de Doomjuice se diferencia de la A en aspectos como el tamaño del código del gusano, y la forma en la que ha sido empaquetada. Tampoco introduce en el equipo ningún fichero con el código fuente de Mydoom.A, tal y como hace Doomjuice.A.

– Yenik.A se difunde a través del correo electrónico -en un mensaje de características variables y escrito en inglés-, y de los programas de intercambio de ficheros punto a punto (P2P). Cuando se manda por e-mail lo hace automáticamente, a todos los contactos de la Libreta de direcciones de Windows, utilizando su propio motor SMTP.

– Dumaru.AA se propaga por correo electrónico en un mensaje escrito en inglés, que incluye un fichero que está comprimido y cuyo nombre es: DOCUMENT.ZIP. Si se ejecuta el fichero descomprimido, el ordenador quedará afectado por Dumaru.AA.

El troyano al que nos referimos hoy es StartPage.AV, que cambia la página de “Inicio” de Internet Explorer y las opciones de búsqueda que, por defecto, éste tiene establecidas. Cuando es ejecutado, se coloca residente en memoria y abre una ventana en el citado navegador, en la que informa de supuestos peligros para la seguridad del ordenador e invita a descargar una utilidad. Después, StartPage.AV se conecta a un sitio web y recibe una lista de enlaces, que añade a la carpeta “Favoritos”.

Demo-GFI.A, por su parte, es una herramienta de hacking que crea un fichero de texto que registra, entre otros, los siguientes datos del ordenador al que afecta: directorios y archivos de la unidad C:; nombre del dominio, impresoras de red disponibles, etc. Tras ser ejecutado, Demo-GFI.A abre el programa Notepad y muestra el contenido del archivo registrado.

Terminamos el presente informe con BuddyLinks, programa de tipo adware que llega al ordenador cuando el usuario visita la página www.wgutv.com o download.buddylinks.net, y acepta instalar un control ActiveX. Una vez en el equipo, manda -a todos los contactos del programa AOL Instant Messenger- un enlace a las páginas mencionadas anteriormente, y muestra un juego en el que aparecen Saddam Hussein y Osama Bin Laden.

Enciclopedia de Virus de Panda Software.

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Fuente:
Panda Antivirus
Distribuidor Mayorista Panda Software Argentina

www.pandaantivirus.com.ar
Información de Panda Software.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática