Informe semanal sobre virus Panda Software.

En el presente informe sobre códigos maliciosos vamos a ocuparnos de tres gusanos diferentes: Gaobot.M (que tiene características de backdoor), Opaserv.Y y Colevo.A.

Gaobot.M afecta a ordenadores con sistemas operativos Windows XP/2000/NT y aprovecha las vulnerabilidades RPC DCOM y WebDAV para propagarse al mayor número de ordenadores posible. Asimismo, se difunde realizando copias de sí mismo en recursos compartidos de red, a los que accede empleando contraseñas fáciles de adivinar. Tras ejecutarse se conecta -por el puerto 6667- a un servidor IRC determinado y espera órdenes de control.

Por su características de backdoor Gaobot.M obtiene información del ordenador al que afecta, en el que también ejecuta ficheros, realiza ataques Distribuidos de Denegación de Servicio (Distributed Denial of Service o DDoS ), sube ficheros por FTP, etc. Además, este gusano finaliza procesos pertenecientes a programas antivirus, a firewalls y a herramientas de monitorización del sistema, lo que deja al PC vulnerable al ataque de otros virus y gusanos. Igualmente finaliza los procesos correspondientes a los siguientes códigos maliciosos: Nachi.A, Autorooter.A, Sobig.F y a varias variantes de Blaster.

Un síntoma claro que delata la presencia de Gaobot.M en un equipo es un aumento considerable del tráfico de red a través de los puertos TCP 135 y 445, debido a sus intentos para aprovechar la vulnerabilidad RPC DCOM.

Opaserv.Y, por su parte, se propaga a otros ordenadores a través de direcciones IP, realizando copias de sí mismo en carpetas compartidas de red. Para conseguir su objetivo intenta acceder a unidades compartidas -a través del puerto 137- aprovechando la vulnerabilidad Share Level Password de Windows Me/98/95.

En el directorio de Windows del ordenador al que afecta Opaserv.Y crea el fichero “SPEEDY.SCR”, que es una copia del gusano, y los archivos “PODRE!!”, “BANDA!”, “VACAS!” y “VAGABU!”. Los tres últimos mencionados se encuentran cifrados con Crypto-Algorythm y contienen información sobre equipos escaneados e infectados.

Finalizamos el presente informe con Colevo.A, que se propaga a través del correo electrónico y envía una copia de sí mismo a todas las direcciones que encuentra en la Lista de contactos del MSN Messenger del equipo al que afecta, utilizando para ello su propio motor SMTP. Colevo.A abre el puerto de comunicaciones 2536, por lo que a través de él un hacker puede ganar acceso, de manera remota, a los recursos del PC. A su vez, este código malicioso conecta aleatoriamente a algunas páginas web, abre el navegador de Internet y muestra imágenes del líder boliviano Evo Morales.

Más información sobre estos u otros códigos maliciosos en la Enciclopedia de Virus de Panda Software, disponible en la dirección:
Enciclopedia Panda Antivirus

Información adicional
Cifrado / autocrifrado: técnica utilizada por algunos virus que se codifican a sí mismos (o parte de ellos) para evitar ser detectados por los antivirus.
Denegación de Servicio (DoS): ataque, causado en ocasiones por los virus, que impide la utilización de ciertos servicios (del sistema operativo, de servidores web, etc.).
SMTP (Simple Mail Transfer Protocol): protocolo que se utiliza en Internet para enviar correo electrónico.

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática