Informe semanal sobre virus por Panda Software.

En el último informe del año que está a punto de acabar vamos a referirnos a la variante C del gusano Sober, y a dos ejemplares más de malware: Firedaemon.A y Memwatcher.B.

Sober.C se envía a sí mismo -a través del correo electrónico- a todas las direcciones que encuentra en los ficheros cuya extensión sea: WAB, CFG, NSF, LDIF, NAP, ADP, ADE, VAP, MHT, HTT, RTF, DOC, XLS, INI, MDB, TXT, HTM, HTML, PST, FDB, LDB, EML, ABC, NAB, MDW, MDA, MDE, SLN, DSW, DSP, PHP, ASP, SHTML, SHTM, DBX, HLP o NFO. Si la extensión del dominio de las direcciones es “de”, “ch”, “at”, “li”, “nl” o “be”, este gusano manda los mensajes en alemán y, sino, en inglés. Para enviarse, utiliza su propio motor SMTP y se valida a sí mismo en los servidores de correo con el nombre MailerVB.de.

Sober.C crea dos copias de sí mismo que se colocan residentes en memoria y comprueba si ambas están en proceso de ejecución. Si uno de los procesos asociados es terminado o alguno de los ficheros es borrado, la otra copia se encargará de regenerarlo. Además, en el directorio de sistema de Windows del equipo al que afecta, este código malicioso crea los siguientes ficheros: REGEAPI.EXE, CRYPTFQ.EXE y SYSHOSTX.EXE.

Para ejecutarse cada vez que se inicia el sistema, Sober.C genera varias entradas en el Registro de Windows. En la práctica, tras activarse este gusano es muy fácil de reconocer, ya que muestra en pantalla un falso mensaje de error.

Firedaemon.A es una herramienta de hacking que permite que aplicaciones Win32 se ejecuten como servicios en ordenadores con sistema operativo Windows 2003/XP/2000/NT. Posibilita una configuración completa del servicio: nombre, directorio por defecto, prioridad, autoarranque, diferentes modos de ejecución, etc. Por sí mismo, Firedaemon.A no implica ningún riesgo, pero puede ser utilizado por cualquier malware para registrarse a sí mismo como un servicio de Windows.

Por su parte, Memwatcher.B es un programa de tipo adware, que abre ventanas emergentes de publicidad cuando el usuario utiliza el navegador Internet Explorer. También origina tráfico de red a las direcciones rads01.quadrogram.com y w w w.sandboxer.com.

En el directorio de sistema de Windows al que afecta, Memwatcher.B crea varios ficheros, con nombre aleatorio de entre 4 y 8 caracteres. Algunos de dichos archivos tienen un tamaño de alrededor de 433 KBytes, y se ejecutan al inicio de Windows, mientras que otros son de 221 KBytes y permanecen residentes en memoria.

Más información sobre estos u otros códigos maliciosos en la Enciclopedia de Virus de Panda Software

Información adicional

– Adware: originalmente es una fórmula de licencia para el uso de programas, en la cual se oferta el uso de la aplicación con el único coste de visualizar una serie de mensajes publicitarios. Sin embargo, en ocasiones, estos programas recogen información sobre los hábitos de uso de Internet, páginas visitadas, inventario de las aplicaciones instaladas en el equipo, etc.

– Herramienta de hacking: aplicación que puede ser utilizada por un hacker para causar perjuicios a los usuarios de un ordenador (obtención de información confidencial, chequeo de puertos de comunicaciones, etc.).

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática