- Informe semanal sobre virus e intrusos -
Virus Alerts, por Panda Software (http://www.pandasoftware.es)
Madrid, 21 de mayo de 2004 - El informe sobre virus e intrusos de la presente semana se ocupa de los gusanos Bobax.A, Bobax.B, Bobax.C,
Kibuv.A y
Lovgate.AF, así como del troyano Ldpinch.W.
Los tres gusanos Bobax (A,B y C) son muy similares entre sí, ya que difieren únicamente en el tamaño de su código. La principal característica de esta nueva familia de códigos maliciosos es que -al igual que hacía el conocido gusano Sasser- aprovechan la vulnerabilidad LSASS de Windows para propagarse. Así, recorren Internet en busca de ordenadores que presenten la mencionada vulnerabilidad. Cuando encuentran alguno, los gusanos Bobax
envían instrucciones para que el propio equipo descargue y ejecute un archivo conteniendo el código malicioso. En el momento en que alguno de ellos hace uso de la vulnerabilidad LSASS se produce un desbordamiento de buffer que desencadena el reinicio del ordenador.
Pese a que la vulnerabilidad LSASS sólo afecta a sistemas que funcionen bajo Windows XP y 2000, Bobax y sus variantes también pueden afectar al resto de plataformas Windows. En ese caso los gusanos no pueden entrar en los ordenadores de forma automática, sino que es necesario que el usuario ejecute un archivo que contenga algún ejemplar de Bobax para que el equipo quede infectado.
Una vez instalados, los gusanos Bobax abren varios puertos de
comunicaciones, permitiendo a usuarios maliciosos utilizar los equipos como servidores SMTP para el envío de correo electrónico. De esta manera, los ordenadores pueden verse convertidos en una especie de zombis para el envío de correo no solicitado o spam.
Kibuv.A es otro imitador de Sasser, y sus efectos son muy similares. También hace uso de la vulnerabilidad LSASS para propagarse, provocando el reinicio del ordenador. Al igual que los gusanos Bobax, funciona en todas las plataformas Windows, si bien sólo puede entrar de forma automática en equipos que funcionen bajo las versiones XP y 2000.
Por su parte, Lovgate.AF es un gusano con características de backdoor que emplea diversas técnicas de propagación, como pueden ser mensajes de correo electrónico, el programa de intercambio de ficheros KaZaA, recursos compartidos de red, etc.
Una vez que se ha instalado en el sistema, Lovgate.AF abre un puerto para enviar un mensaje a un usuario remoto, notificando que el ordenador ha sido afectado y es susceptible de ser atacado.
Por último, el troyano Ldpinch.W. ha sido enviado masivamente por
usuarios maliciosos en mensajes de correo electrónico con el asunto: "Important news about our soldiers in IRAQ!!!". El cuerpo del mismo contiene un texto que hace alusión al conflicto de Irak, e incluye un link a una página web que informa sobre dicho suceso. El e-mail también adjunta un archivo comprimido llamado IMPORTANT INFORMATION.ZIP que, a su vez, contiene el fichero
IMPORTANT INFORMATION.SCR. En caso de que el usuario ejecute este
último archivo, Ldpinch.W se instalará en el ordenador.
Ldpinch.W está diseñado para robar información confidencial del sistema y enviarla a una dirección de correo electrónico predeterminada. De esa manera, el creador del virus puede utilizar los datos obtenidos de forma fraudulenta.
Más información sobre éstas u otras amenazas informáticas en la
Enciclopedia de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/
Información adicional
- Vulnerabilidad: fallos o huecos de seguridad detectados en algún programa o sistema informático, que los virus utilizan para propagarse e infectar.
- Backdoor: se trata de un programa que se introduce en el ordenador y establece una puerta trasera a través de la cual es posible controlar el sistema afectado, sin conocimiento por parte del usuario.
Más definiciones técnicas en:
http://www.pandasoftware.es/virus_info/glosario/default.aspx