Noomy.A: un sofisticado gusano !

Noomy.A: un sofisticado gusano que utiliza la ingeniería social en los chats de IRC.

Noomy.A: un sofisticado gusano !PandaLabs ha detectado recientemente la aparición de un nuevo y sofisticado gusano denominado Noomy.A. Aunque no se han registrado incidencias en los equipos de los usuarios provocadas por este código malicioso, Noomy.A presenta una serie de características a las que debe prestarse atención, sobre todo como indicadoras de las que podrían presentar futuros códigos maliciosos.

Noomy.A es un gusano programado en Visual Basic, que está diseñado para propagarse a través de correo electrónico y del sistema de chat IRC. Para enviarse a través de e-mail utiliza mensajes con características muy variables, ya que puede utilizar diversos asuntos y cuerpos de texto escogidos a partir de amplias listas de opciones. Por su parte, el nombre del fichero adjunto al mensaje de correo electrónico, y que contiene el código del gusano, también tiene un nombre escogido de forma aleatoria. En caso de que el usuario ejecute dicho archivo, Noomy.A se enviará a direcciones de correo -que no contengan determinadas subcadenas de texto- que encuentra en los ficheros con extensiones .dbx, .htm, .html y .php que estén almacenados en el ordenador.

Hasta este punto, Noomy.A no difiere demasiado de los tradicionales gusanos de correo electrónico; sin embargo, este gusano también puede propagarse a través de IRC de una forma bastante atípica. Así, Noomy.A crea un servidor HTTP en los equipos a los que afecta, al tiempo que genera una gran cantidad de archivos con copias de sí mismo. Estos ficheros pueden tener nombres como 2004serials.pif, Ageofempires2crack.exe, AgeOfMythologyISO.exe o AnaKurnikovaVirualGirl2004.scr, entre otros muchos.

Tras ello, Noomy.A se conecta e inicia sesión en diferentes canales de chat de IRC, como si de un usuario más se tratase. A partir de ese momento, introduce mensajes en las salas de chat que hacen uso de técnicas de ingeniería social. Concretamente, intenta captar la atención de los participantes ofreciendo archivos de contenidos atractivos, y así conseguir que los descarguen en sus equipos. Algunos ejemplos de dichos mensajes son los siguientes:

– everyone interested in the newest cracks can visit my private server while im online there’s other things on it too
(quien esté interesado en los más novedosos cracks puede visitar mi servidor privado mientras estoy conectado hay otras cosas también)

– download Britney Spears virual girl screensaver at my private server while im online
(descarga el salvapantallas de Britney Spears virtual de mi servidor privado mientras estoy conectado)

Los mensajes incluyen links que apuntan a los servidores creados en los ordenadores afectados. Al pulsar sobre los enlaces, se accederá a una página desde la que supuestamente pueden descargarse los archivos prometidos en la sesión de chat. Pero, en realidad, se trata de los ficheros que Noomy.A ha creado y que están infectados con copias de sí mismo.

Para conseguir mayor realismo, Noomy.A dota, a los servidores que genera en los equipos afectados, de varias hojas de estilo. De esa manera, aunque un mismo usuario se conecte más de una vez a la misma dirección de Internet, cada vez visualizará una página diferente.

Por otra parte, Noomy.A detiene los procesos en memoria correspondientes a diversos programas antivirus y de seguridad. De esta manera, puede llevar a cabo sus acciones sin ningún tipo de obstáculo. Además, el ordenador queda desprotegido frente a otros posibles ataques por parte de todo tipo de amenazas de Internet.

Otro dato a destacar es que Noomy.A está programado para realizar ataques de Denegación de Servicio a páginas de diversos fabricantes de software, como Microsoft.

Según afirma Luis Corrons, director de PandaLabs: “Muchos códigos maliciosos utilizan los servidores IRC para llevar a cabo sus acciones. Sin embargo, en la mayoría de los casos suelen ser empleados como intermediarios entre un hacker y un virus para realizar acciones maliciosas de forma remota en los ordenadores afectados. La manera en que Noomy.A trata de utilizar la ingeniería social para engañar a los usuarios de IRC parece que es un intento de abrir una nueva vía para la propagación de virus informáticos. Por ello, lo mejor es permanecer siempre alerta, haciendo caso omiso de cualquier mensaje que ofrezca contenidos que no hayamos solicitado, sea cual sea el medio en que nos encontremos”.

Pese a que no se han registrado incidencias causadas por Noomy.A, en prevención de cualquier posible encuentro con este u otros códigos maliciosos, Panda Software recomienda mantener siempre actualizado el software antivirus.

Más información sobre Noomy.A u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección:
www.pandaantivirus.com.ar/enciclopedia

Para la detección y desinfección gratuita de los ordenadores pueden utilizar el antivirus on-line Panda ActiveScan, disponible en:
www.ActiveScan.com.ar

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Fuente:
Panda Antivirus
Distribuidor Mayorista Panda Software Argentina

www.pandaantivirus.com.ar
Información de Panda Software.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática