Informe semanal sobre virus Panda Software.

En el presente informe sobre códigos maliciosos vamos a ocuparnos de tres troyanos – IRCBot.D, Ruledor.A y Pup.A -, del gusano Gaobot.S y de dos nuevas versiones de Gibe.C.

Informe semanal sobre virus Panda Software.IRCBot.D se envía por correo electrónico en un mensaje escrito en inglés -cuyo asunto es “Last Update” e incluye un fichero denominado NAV32.EXE-, que intenta hacer creer al usuario que proviene de una empresa de antivirus. Cuando se ejecuta el mencionado archivo, IRCBot.D se coloca residente en memoria y se conecta a un canal IRC. Desde él recibe comandos de control para realizar, entre otras, las siguientes acciones: redireccionar puertos, descargar y ejecutar ficheros, escanear puertos, lanzar ataques de Denegación de Servicio (DoS) y enviarse a otros canales de IRC.

El segundo troyano que analizamos hoy es Ruledor.A, que instala diferentes variantes del troyano Istbar, añade una barra de herramientas al navegador Internet Explorer, muestra diferentes ventanas emergentes con publicidad y, en ocasiones, finaliza Internet Explorer debido a errores en su programación. Además, cuando el usuario escribe una dirección web en el navegador, Ruledor.A comprueba si hay alguna dirección similar entre su publicidad. Si es así, redirecciona al usuario a esa dirección web.

Por su parte, Pup.A es un troyano que, una vez ejecutado, se coloca residente en memoria. Abre diferentes páginas con publicidad en el navegador Internet Explorer y, cuando el usuario intenta cerrarlas, la ventana de Internet Explorer se minimiza, apuntando a una página que contiene una rutina PHP. Esta rutina accede a ciertas direcciones web, sin conocimiento del usuario, a las que envía información del creador del troyano, que recibe dinero a cambio del número de visitas recibidas.

El primer gusano del presente informe es Gaobot.S, que tiene características de backdoor, afecta a ordenadores con sistemas operativos Windows XP/2000/NT y, para propagarse al mayor número posible de equipos, se aprovecha de las vulnerabilidades RPC DCOM y WebDAV. Asimismo, se difunde realizando copias de sí mismo en recursos compartidos de red, a los que logra acceso empleando contraseñas que son típicas o fáciles de adivinar. Una vez ejecutado, Gaobot.S se conecta a un servidor IRC determinado por el puerto 6667 y espera órdenes de control.

Gaobot.S finaliza procesos pertenecientes a programas antivirus, firewalls y herramientas de monitorización del sistema, dejando así al PC vulnerable al ataque de otros virus y gusanos. Igualmente, finaliza los procesos correspondientes a Nachi.A, Autorooter.A, Sobig.F y a diferentes variantes de Blaster. A la vez, y por sus características de backdoor, Gaobot.S permite obtener información del ordenador al que afecta, ejecutar ficheros en él, realizar ataques de Denegación de Servicio Distribuida (DDoS), subir ficheros por FTP, etc.

Cerramos el presente informe refiriéndonos a la aparición de dos nuevas versiones de Gibe.C, gusano que se propaga a través del correo electrónico, de programas de intercambio de ficheros (P2P) KaZaA, de unidades de red compartidas y por IRC. Las nuevas versiones se diferencian de la original en que están comprimidas con UPX y en los textos que aparecen cuando el citado gusano se ejecuta y envía.

Más información sobre estos u otros códigos maliciosos en la Enciclopedia de Virus de Panda Software, disponible en la dirección: http://www.pandasoftware.es/virus_info/enciclopedia/

Información adicional

– Escanear -puertos, direcciones IP-: acción por la cual se chequean los puertos de comunicaciones y/o las direcciones IP de un ordenador para localizarlos y obtener información sobre su estado. En ocasiones, puede considerarse un ataque o riesgo de seguridad.

– Redireccionar: acceder a una determinada dirección mediante otra.

– Rutina: secuencia invariable de instrucciones que forma parte de un programa y se puede utilizar repetidamente.

Más definiciones técnicas relacionadas con los virus y los antivirus en:
Más información sobre los códigos maliciosos mencionados u otros en la Enciclopedia de Virus de Panda Software, disponible en la dirección:
www.pandaantivirus.com.ar/enciclopedia

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática