Sunday, May 02, 2004

- Informe semanal sobre virus e intrusos -
Virus Alerts, por Panda Software (http://www.pandasoftware.es)

Madrid, 30 de abril de 2004 - Tres variantes de Bagle -Z, AA y AB-, dos
de
Netsky -AA y AB-, y los gusanos Gimared.A y Gaobot.PX centran la
atención
del informe sobre virus e intrusos de la presente semana.

Pese a tratarse de variantes del mismo código malicioso, los tres
nuevos
miembros de la familia de gusanos Bagle presentan algunas diferencias
entre
sí. Por ejemplo, para propagarse Bagle.AA emplea mensajes de correo
electrónico -de características variables- que contienen imágenes en
ficheros adjuntos con extensión JPEG. Por su parte, Bagle.AB, además
del
correo electrónico, también puede usar aplicaciones para intercambio de
ficheros punto a punto (P2P).

A diferencia de las dos variantes anteriores, Bagle.Z no se propaga
automáticamente por sus propios medios, sino que precisa de la
intervención
de un usuario malicioso para ello. Así, los medios que pueden emplearse
para
ello son variados: disquetes, CD-ROMs, mensajes de correo electrónico
con
ficheros adjuntos, descargas de Internet, etc.

Las tres variantes de Bagle pueden conectarse a páginas web que
albergan un
script PHP, que permite notificar a su autor que el ordenador ha sido
afectado. Además, están diseñados para terminar los procesos en memoria
correspondientes a programas antivirus y firewalls, así como a diversos
gusanos.

Netsky.AA y Netsky.AB son dos variantes muy similares. Ambas se
propagan a
través de mensajes de correo electrónico de características variables.
Sin
embargo, siempre incluyen un archivo adjunto con la extensión PIF.
Entre las
características que les diferencian puede mencionarse que, cuando es
ejecutado, Netsky.AA muestra un mensaje de error en pantalla, o que
Netsky
AB es capaz de eliminar entradas del registro de Windows generadas como
consecuencia de la infección por parte de otros gusanos como Bagle.

Gimared.A es un código malicioso que se propaga a través del correo
electrónico. En caso de que sea ejecutado en sistemas que funcionen
bajo
Windows, mostrará una pantalla con un mensaje referente a la situación
política y social en Cuba, país de origen de este gusano.

Un dato curioso de Gimared.A es que envía un correo electrónico al
usuario
del ordenador que acaba de infectar, avisándole de su presencia en el
equipo.

Gaobot.PX es un gusano peligroso capaz de llevar a cabo múltiples
acciones.
Ello se debe a que está diseñado para aprovechar varías
vulnerabilidades de
Windows, así como para utilizar las puertas traseras que instalan los
gusanos Bagle y Mydoom en los equipos afectados.

Una vez en el ordenador, Gaobot.PX finaliza un gran número de procesos
en
memoria, muchos de ellos pertenecientes a programas antivirus y
firewalls,
por lo que dejan al ordenador desprotegido frente a otros ataques.
Además,
impide conectarse a las páginas web de muchos antivirus para evitar que
estos puedan actualizarse.

Por otra parte, el gusano puede conectarse a canales de IRC, desde
donde
puede recibir órdenes de usuarios maliciosos. De esta manera, puede
descargar ficheros, ejecutar comandos o actualizarse. Asimismo, puede
robar
datos confidenciales, obtener información del sistema e, incluso,
llevar a
cabo ataques de denegación de servicio distribuidos (DdoS).

Más información sobre éstas u otras amenazas informáticas en la
Enciclopedia
de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/

Información adicional

- Script: este término hace referencia a aquellos ficheros o secciones
de
código escritas en algún lenguaje de programación, como Visual Basic
Script
(VBScript), JavaScript, etc.

- IRC: son las siglas de Internet Relay Chat, un sistema que permite a
los
usuarios comunicarse por escrito y en tiempo real. Está basado en la
tecnología cliente-servidor, por lo que para poder usarlo es necesario
un
programa (cliente) que establezca una conexión con el equipo (servidor)
que
brinda el servicio.

Más definiciones técnicas en:
http://www.pandasoftware.es/virus_info/glosario/default.aspx

NOTA: Debido al cliente de correo las direcciones pueden aparecer
cortadas
y, por lo tanto, impedir el acceso. Si esto sucede, unificar cada URL
en una
línea (mediante las opciones "cortar" y "pegar").

------------------------------------------------------------
Para darse de baja de Virus Alerts visite la página:
http://www.pandasoftware.es/unsubscribe.asp

Si desea contactar con Panda Software visite la dirección:
http://www.pandasoftware.es/about/contactar/direcciones.aspx