- Informe semanal sobre virus e intrusos -
Virus Alerts, por Panda Software (http://www.pandasoftware.es)

Madrid, 4 de junio de 2004 - En el primer informe de junio vamos a
referirnos a seis gusanos -Plexus.A, Cult.J y cuatro variantes de
Korgo-, y
a Protoride.gen.

Plexus.A se propaga a través de Internet, explotando -en los equipos
que no
han sido convenientemente actualizados- las vulnerabilidades RPC DCOM y
LSASS, y enviándose a las direcciones que encuentra en la máquina local
y en
unidades mapeadas.

Plexus.A sobrescribe el fichero host, para que así el ordenador no
pueda
conectarse a determinadas direcciones de un fabricante de antivirus y,
por
lo tanto, el PC no pueda actualizar la protección que tenga instalada.
Además, Plexus.A obtiene el directorio de ficheros compartidos de Kazaa
para
copiarse en él, al tiempo que también se copia en las carpetas
compartidas
de la red.

Cult.J se difunde por e-mail en un mensaje cuyo asunto es: "Hello, I
sent
you a beautiful love card. ^_*", e incluye el fichero:
"BEAUTIFULLOVE.PIF".
Cuando se ejecuta el citado archivo, este gusano manda una copia suya a
una
serie de direcciones, utilizando para ello su propio motor SMTP.

Cult.J se coloca residente en memoria e intenta conectarse a un canal
de un
servidor IRC. En la práctica, si consigue realizar la conexión, este
código
malicioso permite que un usuario malicioso utilice, de forma remota, el
equipo al que ha afectado para realizar, entre otras, las siguientes
acciones:

- Ataques a través de IRC.

- Envío de información confidencial y del sistema.

- Descarga y ejecución de archivos.

- Envío del gusano a otros canales de IRC.

Protoride.gen, por su parte, es una detección genérica de las variantes
del
gusano Protoride que pueden aparecer en el futuro. Los ejemplares de la
citada familia de códigos maliciosos tienen las siguientes
características:

- Se propagan a través de redes de ordenadores, realizando copias de sí
mismos en los recursos compartidos a los que consiguen acceder.

- Se conectan, a través del puerto 6667, a un canal de IRC y permanecen
a la
espera de que un hacker envíe comandos de control remoto (para
descargar y
ejecutar ficheros, ocultar procesos activos, desinstalarse a sí mismo,
etc.).

- Modifican una entrada en el Registro de Windows, que provoca que los
ficheros con extensión EXE no se ejecuten. A su vez, esto impide el
funcionamiento de determinadas aplicaciones.

Los siguientes gusanos que mencionamos hoy son las variantes C, D, E y
F de
Korgo, que se propagan a través de Internet aprovechándose, para ello,
de la
vulnerabilidad LSASS. Las cuatro abren el puerto 3067 y permanecen a la
escucha del mismo. Asimismo, todas intentan conectarse a varios
servidores
de IRC, y están preparadas para evitar que el ordenador pueda ser
apagado.

Más información sobre éstas u otras amenazas informáticas en la
Enciclopedia
de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/

Información adicional

- IRC (Chat IRC): conversaciones escritas a través de Internet (en las
que,
además, pueden transferirse ficheros), conocidas popularmente como
"chat".

- Residente/Virus residente: fichero o programa que se coloca en la
memoria
del ordenador, de forma permanente, controlando las operaciones
realizadas
en el sistema.

Más definiciones técnicas en:
http://www.pandasoftware.es/virus_info/glosario/default.aspx