- Informe semanal sobre virus e intrusos -
Virus Alerts, por Panda Software (http://www.pandasoftware.es)

Madrid, 14 de mayo de 2004 - Cinco gusanos -Sasser.F, Cycle.A,
Bagle.AC,
Sober.G y Wallon.A-, y Qhost.gen centran la atención del informe sobre
virus
e intrusos de esta semana.

Sasser.F se difunde a través de Internet, aprovechándose para ello de
la
vulnerabilidad LSASS. En el equipo al que afecta provoca un
desbordamiento
de buffer en el programa LSASS.EXE, el reinicio del ordenador y la
aparición
en pantalla de un mensaje. Como las otras variantes de Sasser
aparecidas con
anterioridad, la F se propaga de manera automática en ordenadores con
Windows XP/2000. También funciona en el resto de sistemas operativos
Windows, si el archivo que lo contiene es ejecutado por un usuario
malicioso.

Como el código malicioso citado anteriormente, Cycle.A también se
propaga a
través de Internet, explotando la vulnerabilidad LSASS y provocando el
reinicio del ordenador afectado. A su vez, finaliza los procesos
correspondientes a los gusanos Blaster, Sasser.A, Sasser.B, Sasser.C y
Sasser.D, y realiza ataques de Denegación de Servicio (DoS) contra
varios
sitios web, cuando la fecha del sistema no se encuentra entre el 1 y el
18
de mayo, ambos inclusive.

El tercer gusano al que nos referimos hoy es Bagle.AC, que finaliza
procesos
correspondientes a diversas aplicaciones de seguridad, como programas
antivirus y firewalls, así como diferentes gusanos. Además, intenta
conectarse -a través del puerto 14441- a varias páginas web, que
albergan un
script PHP, con el objetivo de notificar a su autor que el ordenador ha
sido
afectado.

Sober.G, por su parte, es un gusano que se propaga a través del correo
electrónico en un mensaje escrito en inglés o alemán, dependiendo de la
extensión del dominio de la dirección de correo del usuario. En el
equipo al
que afecta busca, en ficheros que tienen determinadas extensiones,
direcciones de correo electrónico, a las que se envía empleando su
propio
motor SMTP.

El quinto gusano del presente informe es Wallon.A, que se descarga en
el
ordenador aprovechándose para ello de la vulnerabilidad
Exploit/MIE.CHM. El
proceso que realiza para difundirse es el siguiente: el usuario recibe
un
e-mail que contiene un enlace a una determinada página web. Si el
usuario
visita la referida página, Wallon.A se descarga en el equipo.

Wallon.A recoge todos los contactos que encuentra en la Libreta de
direcciones de Windows y los envía a una dirección de correo
electrónico.
Asimismo, este gusano cambia la página de inicio del navegador Internet
Explorer y, si la Libreta de direcciones de Windows se encuentra vacía,
muestra en pantalla un mensaje de error.

Finalizamos el informe de hoy con Qhost.gen, que es una detección
genérica
de ficheros HOSTS modificados por varios ejemplares de malware, entre
los
que se encuentran diferentes variantes del Gaobot. El citado fichero
contiene una serie de líneas que son las primeras que Windows utiliza
para
la resolución de nombres a direcciones IP (antes que otros servicios
tales
como WINS o DNS).

Los ficheros HOSTS son modificados por el citado malware de tal forma
que
asocian una lista de direcciones web a la dirección IP 127.0.0.1,
consiguiendo así que las direcciones incluidas en dicha lista sean
inaccesibles. Las referidas páginas web suelen pertenecer a compañías
que
comercializan software de seguridad como, por ejemplo, soluciones
antimalware. Por tal motivo, el usuario cuyo equipo haya resultado
afectado
por Qhost.gen no podría acceder a estas páginas y consultar
información,
actualizar su solución, etc.

Más información sobre éstas u otras amenazas informáticas en la
Enciclopedia
de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/