TruPreventTM detiene sin conocer un nuevo troyano !!!

Las Tecnologías TruPreventTM detienen, sin conocerlo, un nuevo troyano que simula ser un parche para la vulnerabilidad Plug and Play, informa Panda Software

TruPreventTM detiene sin conocer un nuevo troyano !!!- Downloader.EJD ha sido enviado en forma de emails que dicen contener la actualización que corrige el problema de seguridad que aprovecharon los gusanos Zotob e IRCBot para afectar a numerosas empresas.

– Las Tecnologías TruPreventTM detectan y bloquean eficazmente a este troyano sin necesidad de actualizaciones, por lo que los equipos de los clientes de Panda Software que disponen de estas tecnologías han sido inmunes a sus efectos desde el primer momento.

PandaLabs ha detectado la nueva variante EJD de la familia de troyanos Downloader que, como novedad, se presenta ante el usuario simulando ser el parche que corrige la vulnerabilidad Plug and Play de Windows. Esta vulnerabilidad fue aprovechada hace tan sólo unos días por los gusanos Zotob e IRCBot.KC y KD para introducirse en los sistemas informáticos, provocando un nivel de alerta naranja de virus ya que fueron capaces de afectar a medios de comunicación como CNN, ABC y The New York Times, instituciones como el Congreso de USA, o empresas como Caterpillar, entre otras. Las Tecnologías TruPreventTM han bloqueado a este troyano de forma proactiva analizando su comportamiento, por lo que los ordenadores que disponen de ellas han sido inmunes a los ataques de este troyano desde el primer momento, sin necesidad de actualizaciones.

Según Luis Corrons, director de PandaLabs: “Se trata de una nueva forma de aprovechar la vulnerabilidad Plug and Play, aunque en este caso haciendo uso de la ingeniería social, una estrategia que ha conseguido provocar epidemias de importancia, ya que depende de los usuarios el ejecutar o no el archivo recibido. Esto puede evitarse en gran medida complementando los antivirus tradicionales con tecnologías proactivas como TruPreventTM, capaces de detectar nuevos ejemplares de malware analizando su comportamiento. Debe tenerse en cuenta que un ordenador que disponga de estas tecnologías no se verá afectado ni aún en el caso de que el usuario ejecute el archivo que contiene a Downloader.EJS, ya que las Tecnologías TruPreventTM detectan los procesos maliciosos que el troyano intenta poner en marcha y los bloquea inmediatamente”.

En realidad, como la mayoría de los troyanos, Downloader.EJD no tiene capacidad de propagación propia, sino que han sido uno o varios usuarios maliciosos quienes han preparado y enviado masivamente el correo electrónico que contiene a dicho troyano. Concretamente dicho mensaje presenta las siguientes características:

Remitente:
update@microsoft.com
Asunto:
What You Need to Know About the Zotob.A Worm

Cuerpo:
What You Should Know About Zotob
Published: August 14, 2005 | Updated: August 19, 2005 Severity VirusGreen

What the levels mean

Supported Software Affected
Windows All Version
Microsoft Security Advisory 899588
Zotob.A
Zotob.B
Zotob.C
Zotob.D
Zotob.E
Bobax.O
Esbot.A
Rbot.MA
Rbot.MB
Rbot.MC
Zotob is a worm that targets All Windows computers and takes advantage of a security issue that was addressed by Microsoft Security Bulletin MS05-039. This worm and its variants install malicious software, and then search for other computers to infect.

Important If you have installed the update released with Security Bulletin MS05-039, you are already protected from Zotob and its variants. If you are using any supported version of Windows, you are not at risk from Zotob and its variants.

Use the Microsoft Windows Malicious Software Removal Tool to search for and remove the Zotob worm and its variants from your hard drive.

This tool checks for and removes infections from Zotob.A through Zotob.E as well as Bobax.O, Esbot.A, Rbot.MA, Rbot.MB, and Rbot.MC. It also checks for and removes all versions of malicious software that the tool has been updated to remove.

Por su parte, el archivo adjunto a dicho mensaje lleva por nombre MS05-039.exe, que se corresponde con la referencia dada por Microsoft a la vulnerabilidad Plug and Play.

Sin embargo, y dado que el mencionado correo ha sido preparado de forma manual por parte de quienes lo han enviado masivamente, es muy posible que puedan detectarse mensajes con características distintas y que también contengan a Downloader.EJD.

En caso de que el usuario ejecute el archivo recibido, el troyano se copia en el sistema bajo el nombre svchst.exe, y procede a ejecutarse. En ese momento, intenta desactivar determinadas aplicaciones de seguridad que se encuentren instaladas en el sistema y descarga, desde una dirección web, un fichero llamado test.exe. Este último contiene otro troyano, llamado Agent.AII, que crea varios archivos en el sistema, cuya función es robar información transmitida a través de páginas web en cuyas URLs se encuentren términos como: e-gold, e-bullion, intgold, 1MDC, Pecunix, GoldMoney, Virtualgold, NetPad, paymer, entre otros. Además Agent.AII introduce varias entradas en el registro de Windows con el objetivo de asegurar su ejecución en todo momento.

Para evitar la entrada de cualquiera de los mencionados troyanos, Panda Software recomienda mantener actualizado el software antivirus. Los clientes de Panda Software ya tienen a su disposición las correspondientes actualizaciones para la detección y desinfección de estos nuevos códigos maliciosos.

Los clientes de Panda Software que aún no disponen de las Tecnologías TruPreventTM, ya tienen disponibles las actualizaciones para instalarlas junto con su antivirus y estar, así, protegidos de forma preventiva frente a virus e intrusos desconocidos como Downloader.EJD o Agent.AII. Por otro lado, para usuarios que cuenten con otros antivirus del mercado, Panda TruPreventTM Personal es la solución idónea, ya que es compatible y complementaria a éstos y proporciona una segunda línea de defensa y una protección preventiva que actúa mientras el antivirus es actualizado, disminuyendo el riesgo de ser infectados. Más información sobre las Tecnologías TruPreventTM en http://www.pandasoftware.es/truprevent

Para ayudar al mayor número de usuarios a analizar y/o desinfectar puntualmente sus equipos, Panda Software ofrece gratuitamente -en http://www.pandasoftware.es/home/default.asp- la solución antimalware online Panda ActiveScan, que ahora también detecta spyware. Además, los webmasters pueden ofrecer este mismo servicio a los visitantes de sus páginas web mediante la inclusión de un código HTML que pueden obtener gratuitamente en http://www.pandasoftware.es/partners/webmasters/

Panda Software también pone a disposición de los usuarios Virus Alerts, boletín digital -en español e inglés- en el que notifica, de forma inmediata, la aparición de códigos maliciosos potencialmente peligrosos. Para recibir Virus Alerts sólo hay que visitar la web de Panda Software (http://www.pandasoftware.es/about/suscripciones/), y rellenar el formulario correspondiente.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software.


Sobre PandaLabs

Desde 1990, tiene como misión analizar las nuevas amenazas lo antes posible para mantener seguros a nuestros clientes. Varios equipos especializados en cada tipo concreto de malware (virus, gusanos, troyanos, spyware, phishing, spam, etc.) trabajan 24×7 ofreciendo una cobertura global. Para ello, se apoya en las Tecnologías TruPreventTM, un auténtico sistema global de alerta temprana formado por sensores estratégicamente distribuidos, que neutraliza nuevas amenazas y las envía a PandaLabs para su análisis en profundidad. De acuerdo con Av.Test.org, actualmente, PandaLabs es el laboratorio más rápido de la industria en proporcionar actualizaciones completas a los usuarios (más información en www.pandasoftware.es/pandalabs.asp

Más información sobre amenazas informáticas en la Enciclopedia de Panda Software:
www.pandaantivirus.com.ar/enciclopedia

Antivirus Online Gratis y Actualizado al día con la última tecnología:
www.ActiveScan.com.ar

Controle en el nivel de protección de su antivirus:
www.antiviruschecker.com.ar

Más definiciones técnicas sobre virus y malware:
www.pandaantivirus.com.ar/glosario

Descargas de aplicaciones gratuitas PQRemove desde Servidor de Argentina:
www.pandaantivirus.com.ar/solucionesinmediatas

Recursos Gratuitos para Webmasters:
www.pandaantivirus.com.ar/webmasters

Más información sobre las Tecnologías TruPreventTM en:
www.pandaantivirus.com.ar/truprevent


Fuente:
Panda Software Argentina
Analia Peñas
Comunicación y Marketing Argentina

Panda Antivirus
Dast Informática S.R.L.
Distribuidor Mayorista Panda Software Argentina

www.pandaantivirus.com.ar

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática