Thursday, July 08, 2004

- Informe semanal sobre virus e intrusos -
Virus Alerts, por Panda Software (http://www.pandasoftware.es)

Madrid, 2 de julio de 2004 - En el informe sobre virus e intrusos de
hoy
vamos a ocuparnos de tres backdoors -Webber.S, Webber.P y Agent.E-, de
dos
troyanos -Bankhook.A y Scob.A-, y de tres nuevas variantes de Korgo.

Webber.S y Webber.P son dos backdoors que permiten acceder, de forma
remota,
a los ordenadores a los que afectan, de los que recogen información
confidencial que posteriormente envían a diferentes sitios web. Entre
las
características que diferencian a las citadas variantes destacan:

- La forma de distribución.
La difusión de Webber.P se ha realizado mediante la introducción de
cambios
en la configuración de servidores web, que utilizan la versión 5.0 de
Internet Information Services (IIS). En concreto, se han modificado
para que
incluyan, en las páginas que albergan, un código malicioso escrito en
JavaScript que Panda Software detecta como Exploit/DialogArg. El citado
exploit permite que Webber.P se descargue y se ejecute en el ordenador,
aprovechándose para ello de una vulnerabilidad de Internet Explorer.

La distribución de Webber.S se realiza cuando el usuario visita
determinadas
páginas web, que incluyen un código malicioso escrito en JavaScript.
Este
código, a través de una vulnerabilidad de Internet Explorer, posibilita
la
descarga y ejecución de Webber.S en el PC, sin que el usuario sea
consciente
de ello.

- Webber.P abre dos puertos TCP para conseguir que el equipo funcione
como
servidor proxy.

El tercer backdoor al que nos referimos hoy es Agent.E, que llega al
ordenador cuando el usuario visita determinadas páginas web. Este
código
malicioso instala en el equipo una Librería de Enlace Dinámico, que
permite
controlar algunas funciones del navegador Internet Explorer. Entre las
acciones que Agent.E permite realizar se encuentran obtener información
del
sistema, acceder a archivos de determinadas aplicaciones, usar objetos
para
comunicación, etc.

Bankhook.A, por su parte, es un troyano que se instala en el equipo
aprovechándose, para ello, de la vulnerabilidad MhtRedir de Internet
Explorer. Se registra en el equipo al que afecta, para así ejecutarse
cada
vez que se utilice el citado navegador.

Bankhook.A busca, en el tráfico HTTPS que se genera en el PC, una serie
de
cadenas de texto referentes a entidades de banca online. Cuando
encuentra
una procede a robar la información asociada (nombre de usuario,
contraseña
de acceso, número de cuenta y tarjeta de crédito, etc.), y la envía
-mediante un script- a un ordenador.

El segundo troyano que analizamos es Scob.A, que afecta a ordenadores
con
Windows XP/2000/NT y que funcionen como servidores web, al tener
instalada
la versión 5.0 de IIS. En la práctica, este código malicioso modifica
la
configuración de dicha aplicación para que en todos los archivos
ofrecidos
desde dichos servidores web se incluya el código Exploit/DialogArg.

Terminamos el presente informe con las variantes U, V y W de Korgo, que
utilizan la vulnerabilidad de Windows LSASS para propagarse a través de
Internet e introducirse automáticamente en los ordenadores. También
afectan
a todas las plataformas Windows, si bien sólo se introducen de forma
automática en aquellos equipos que funcionen bajo Windows XP y 2000.
Las
tres se conectan a una serie de sitios web, de los que intentan
descargar
archivos. Además, envían a los mencionados sitios información sobre el
país
donde se encuentra el ordenador al que han afectado.

Korgo.U, Korgo.V y Korgo.W se colocan residentes en memoria y, a
diferencia
de otros ejemplares de malware que emplean la vulnerabilidad LSASS para
afectar los equipos, no provocan la aparición de un mensaje de error
con una
cuenta atrás y el posterior reinicio del ordenador.

Más información sobre éstas u otras amenazas informáticas en la
Enciclopedia
de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/

Información adicional

- Backdoor / Puerta trasera: programa que se introduce en el ordenador
y
establece una puerta trasera a través de la cual es posible controlar
el
sistema afectado, sin conocimiento por parte del usuario.

- Internet Information Server( IIS): servidor de Microsoft destinado a
la
publicación, mantenimiento y gestión de páginas y portales web.

- Librería de enlace dinámico (DLL): tipo especial de fichero, con
extensión
DLL.

Más definiciones técnicas en:
http://www.pandasoftware.es/virus_info/glosario/default.aspx