Informe semanal sobre virus por Panda Software.

Seis gusanos -Mydoom.A y Mydoom.B, las variantes Q y S de Mimail, Gaobot.DK y Dumaru.Z- y el troyano Govnodav.A centran la atención del presente informe. De entre ellos destaca Mydoom.A, que esta semana ha protagonizado una de las mayores epidemias de la historia de la Informática.

Mydoom.A y Mydoom B se propagan a través del correo electrónico – en un mensaje con características variables -, y a través del programa de ficheros compartidos (P2P) KaZaA.

Entre las acciones que llevan a cabo en el equipo al que afectan destacan las siguientes:

– Introducen una librería de enlace dinámico que, a su vez, crea un backdoor que abre el primer puerto TCP disponible desde el 3127 al 3198.

– Realizan ataques de Denegación de Servicio Distribuida (DDoS) contra la página web w w w.sco.com, lanzando peticiones GET/ HTTP/ 1.1.

– Abren el Bloc de notas de Windows (NOTEPAD.EXE) y muestran texto basura.

Además de compartir estas características, las citadas versiones se diferencian en otros aspectos, entre los que sobresalen los que se mencionan a continuación.

– Para asegurarse de que no coincida la ejecución de dos copias suyas, Mydoom.A genera un mutex llamado SwebSipcSmtxSO.

– Mydoom.B sobrescribe el fichero de hosts de Windows, lo que le permite redirigir determinadas direcciones de Internet, entre las que se hallan las de varias compañías antivirus, impidiendo así que muchos antivirus puedan descargar las actualizaciones correspondientes.

– Mydoom.B está diseñado para causar ataques de denegación de servicio contra los servidores de Microsoft.

Los siguientes gusanos a los que nos referimos son las variantes S y Q de Mimail, que se difunden por correo electrónico en mensajes con características variables. Lo más significativo de ambas es que, para conseguir que el usuario les proporcione información confidencial (número de tarjeta de crédito, clave personal (PIN), etc.), muestran un formulario que simula proceder de Microsoft. Los datos que recogen los envían a una dirección de correo.

Gaobot.DK, por su parte, es un gusano que afecta a ordenadores con sistemas operativos Windows 2003/XP/2000/NT. Para propagarse al mayor número de ordenadores posible aprovecha las vulnerabilidades RPC Locator, RPC DCOM y WebDAV. A su vez, se difunde realizando copias de sí mismo en recursos compartidos de red a los que logra acceso.

Una vez ejecutado, Gaobot.DK se conecta a un servidor IRC determinado y espera órdenes de control. En la práctica, finaliza procesos pertenecientes a programas antivirus, firewalls y herramientas de monitorización del sistema, dejando así al equipo vulnerable al ataque de otros virus y gusanos. Igualmente, concluye los procesos correspondientes a Nachi.A, Autorooter.A, Sobig.F y a diferentes variantes de Blaster. También merece reseñarse que Gaobot.DK permite obtener información del ordenador al que afecta, ejecutar ficheros en él, realizar ataques de tipo de Denegación de Servicio Distribuida (DDoS), subir ficheros por FTP, etc.

El último gusano que analizamos hoy es Dumaru.Z, que se propaga a través del correo electrónico en un mensaje cuyo asunto es: “Important information for you. Read it immediately !”, e incluye un fichero llamado “MYPHOTO.ZIP”. Se envía a sí mismo a todas las direcciones que encuentra en un e-mail que incluye el código Exploit/Iframe, lo que le permite activarse si el mensaje es visualizado a través de la Vista previa de Outlook.

En el equipo al que afecta, la variante Z de Dumaru roba información sobre cuentas e-gold, al tiempo que abre los puertos de comunicaciones 2283 y 10000. Además, descarga el gusano Spybot.FC, que intenta conectarse al servidor IRC del dominio egold-hosting.com, y desactiva varias herramientas administrativas como, por ejemplo, el Administrador de tareas y el editor del Registro de Windows.

Finalizamos el presente informe con Govnodav.A, que es un troyano con características de Keylogger. Aunque no se propaga por sí mismo ha sido enviado de forma masiva a través del correo electrónico. Si encuentra ciertas cadenas de texto en las pulsaciones que registra, las guarda en un fichero que envía a su creador, a través del correo electrónico.

Más información sobre estos u otros códigos maliciosos en la Enciclopedia de Virus de Panda Software.

Información adicional

– DDoS / Denegación de Servicios Distribuida: ataque de Denegación de Servicios (DoS) realizado al mismo tiempo desde varios ordenadores, contra un servidor.

– Mutex: técnica utilizada por algunos virus para controlar el acceso a recursos (programas u otros virus), y evitar que más de un proceso utilice el mismo recurso al mismo tiempo. Los virus que utilizan mutex pueden incluir otros códigos maliciosos en su interior.

– Keylogger: programa que recoge y guarda una lista de todas las teclas pulsadas por un usuario, es decir, lo que éste ha escrito (contraseñas, documentos, mensajes de correo, combinaciones de teclas, etc.).

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Distribuidor Mayorista Panda Software Argentina

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática