Thursday, July 22, 2004

- Informe semanal sobre virus e intrusos -    Virus Alerts, por Panda Software (http://www.pandasoftware.es)Madrid, 16 de julio de 2004 - Cuatro códigos maliciosos protagonizan elpresente informe sobre virus e intrusos: tres gusanos -Bagle.AF, Atak.A yKorgo.Z-, y el troyano Xebiz.A. Bagle.AF se manda por correo electrónico -empleando para ello su propiomotor SMTP-, a las direcciones que obtiene de los ficheros del PC al queafecta que tengan alguna de las siguientes extensiones: WAB, TXT, MSG, HTM,SHTM, STM, XML, DBX, MBX, MDX, EML, NCH, MMF, ODS, CFG, ASP, PHP, PL, WSH,ADB, TBB, SHT, XLS, OFT, UIN, CGI, MHT, DHTM y JSP. Bagle.AF finaliza procesos pertenecientes a programas de seguridad, comoantivirus, y se conecta a diferentes scripts PHP. Asimismo, este gusanocontiene código para abrir un puerto y permanecer a la escucha del mismocomo backdoor.Atak.A, por su parte, se propaga a través del correo electrónico en mensajesescritos en inglés, de características variables, que incluyen un archivoadjunto que puede tener doble extensión. La primera extensión será JPG oGIF, seguida de un número aleatorio de espacios en blanco, mientras que lasegunda será EXE.En el equipo al que afecta, Atak.A busca direcciones de correo electrónicoen los ficheros con extensión ADB o WAB, y en los archivos cuyo tamaño seainferior a 81920 bytes y tengan una de las siguientes extensiones: ASP, CFG,CGI, DBX, EML, HTM, HTML, JSP, LOG, MBX, MHT, MSG, NCH, ODS, PHP, SHT, TBB,UIN, VBS y XML. Después se manda a todas las direcciones que ha recopilado,utilizando su propio motor SMTP.Para asegurarse de que no hay más de una copia suya ejecutándose Atak.A creaun mutex. Adicionalmente, este gusano comprueba si existe algún debuggeractivo en el ordenador al que afecta, en cuyo caso finaliza su ejecución.El siguiente gusano al que nos referimos hoy es Korgo.Z, que emplea lavulnerabilidad de Windows LSASS para difundirse a través de Internet eintroducirse automáticamente en los ordenadores. También afecta a todas lasplataformas Windows, si bien sólo se introduce de forma automática enaquellos equipos que funcionen bajo Windows XP y 2000 y no han sidoconvenientemente actualizados. La variante Z de Korgo se coloca residente en memoria e intenta descargararchivos de una serie de sitios web, a los que además envía informaciónsobre el país donde se encuentra el ordenador afectado. En él, y tal y comosucedía con el gusano mencionado anteriormente, crea un mutex, para impedirque dos copias suyas se ejecuten de forma simultánea. Terminamos el presente informe con Xebiz.A, troyano que se conecta a unapágina web para descargar, en el ordenador al que afecta, un troyano llamadoZerolin.A. Además, en dicho equipo genera varios archivos y crea entradas enel Registro de Windows, para así ejecutarse cada vez que se inicia elsistema.Xebiz.A ha sido enviado masivamente, a través del correo electrónico, ene-mails escritos en inglés y que tienen características variables, aunquetodos incluyen un formulario con un botón que, al ser pulsado, inicia ladescarga de Zerolin.A.Más información sobre éstas u otras amenazas informáticas en la Enciclopediade Panda Software, disponible en la dirección:http://www.pandasoftware.es/virus_info/enciclopedia/Información adicional- Debugger: herramienta informática con la que puede leerse el código fuenteen el que están escritos los programas.- Mutex: técnica utilizada por algunos virus para controlar el acceso arecursos (programas u otros virus), y evitar que más de un proceso utiliceel mismo recurso al mismo tiempo.  Más definiciones técnicas en:http://www.pandasoftware.es/virus_info/glosario/default.aspx