Informe semanal sobre virus e intrusos por Panda Software.

En el presente informe vamos a referirnos a cinco gusanos – las variantes R y Q de Netsky, la V y U de Bagle, y la E de Sober – que se propagan por correo electrónico, y al troyano Seeker.O.

Entre las acciones que Netsky.R y Netsky.Q llevan a cabo destacan las
siguientes:

– Borran las entradas pertenecientes a varios gusanos, como Mydoom.A,
Mydoom.B, Mimail.T y diferentes variantes de Bagle.

– Intentan realizar ataques de Denegación de Servicio (DoS) contra diversas
páginas web.

Netsky.Q se activa automáticamente con tan sólo visualizar, a través de la
Vista previa de Outlook, el mensaje en el que se manda. Para conseguirlo,
aprovecha la vulnerabilidad -conocida como Exploit/Iframe- que afecta a las
versiones 5.01 y 5.5 de Internet Explorer y permite la ejecución automática
de los ficheros adjuntos a los mensajes de correo. Por otra parte, Netsky.Q
está programado para emitir -entre las 5:00 y las 10:59 de la mañana- un
sonido compuesto de varios tonos aleatorios, cuando la fecha del sistema es
30 de marzo de 2004.

Por su parte, Bagle.V y Bagle.U se difunden en e-mails fáciles de reconocer,
ya que el asunto y el cuerpo de texto de los mensajes aparecen en blanco, e
incluyen un fichero adjunto de nombre variable y extensión EXE. Igualmente,
ambos sólo se ejecutan si la fecha del sistema es 1 de enero de 2005 o
anterior y, después de dicha fecha, dejan de funcionar.

Las variantes V y U de Bagle están programadas para que, cuando se ejecute
los archivos que las contienen, se abra el puerto TCP 4751. A través de este
puerto intentan conectarse a una página web para enviar a su autor los datos
del ordenador infectado, con el objetivo de que acceda al mismo. Además de
compartir las mencionadas características, hay otras que diferencian a estos
gusanos, como las que se mencionan a continuación:

– El fichero adjunto que contiene a Bagle.V tiene como icono la imagen de
una jeringuilla, mientras que el de Bagle.U es un reloj.

– Bagle.U abre el juego de Windows Corazones, si dicha aplicación está
instalada en el ordenador afectado.

El quinto gusano que analizamos hoy es Sober.E, que descarga un fichero de
una página web, si la fecha es posterior al 24 de marzo de 2004, al tiempo
que intenta conectarse a varios servidores NTP para comprobar la fecha
actual. Una vez es ejecutado, es fácil saber que este gusano ha afectado a
un equipo, ya que abre la aplicación de Windows Paint o muestra en pantalla
el texto “Graphic Modul not found”.

Concluimos el informe de hoy con Seeker.O, troyano que se coloca residente
en memoria. Cada hora intenta abrir una vez una página de publicidad, que se
encarga de acceder a una web diferente en cada ocasión. Algunas de las
páginas que abre intentan descargar e instalar diversos programas spyware y
adware en el ordenador afectado.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática