- Informe semanal sobre virus e intrusos -
Virus Alerts, por Panda Software (http://www.pandasoftware.es)
Madrid, 6 de agosto de 2004 - El informe sobre virus e intrusos de esta
semana centra su atención en tres gusanos -Mydoom.P, Mydoom.O y
Amus.A-, y
en dos troyanos denominados Downloader.OG y Brador.A.
Mydoom.P se propaga a través del correo electrónico, en un e-mail
escrito en
inglés que simula ser un mensaje devuelto al usuario a causa de un
supuesto
error. Cada cinco segundos este gusano verifica si hay activo en
memoria
algún proceso que contenga alguna de las siguientes cadenas de texto:
av,
AV, can, cc, ecur, erve, iru, java, KV, mc, Mc, nti, nv, ort, scn,
SkyNet,
sss, sym, Sym, uba y xp.exe. En caso afirmativo, Mydoom.P finaliza
dicho
proceso. Además, en algunas ocasiones, la primera vez que este gusano
es
ejecutado abre el programa Notepad.
En la práctica, Mydoom.P intenta recoger direcciones de correo
electrónico a
través de los dos métodos que se mencionan a continuación:
- Buscándolas en todos los archivos que tengan alguna de las siguientes
extensiones: ADB, ASP, CFG, DBX, DHTM, EML, HTM, HTML, JS, JSE, JSP,
MMF,
MSG, ODS, PHP, PL, SHT, SHTM, SHTML, TBB, TXT, WAB y XML.
- Realizando peticiones HTTP al sitio web email.people.yahoo.com, para
utilizar el servicio de Búsqueda de Personas del correo de Yahoo.
Mydoom.O, por su parte, se difunde a través del correo electrónico, en
un
mensaje escrito en inglés y de características variables. Instala un
archivo
que actúa como backdoor, abriendo el puerto TCP 1034 y permaneciendo a
la
escucha. De este modo, permite acceder al ordenador al que afecta, para
realizar en el mismo acciones que pueden comprometer la
confidencialidad de
los datos del usuario o dificultar su trabajo.
El tercer gusano que analizamos es Amus.A, que se propaga a través del
correo electrónico -utilizando su propio motor SMTP-, en un mensaje
escrito
en inglés. En el equipo al que afecta genera una entrada en el Registro
-para así asegurar su ejecución cada vez que se inicia Windows-, y
varias
copias suyas. Asimismo, en ocasiones, Amus.A puede crear un cuadrado
blanco,
de pequeñas dimensiones, en el ángulo superior izquierdo del
escritorio.
El primer troyano del presente informe es Brador.A, que afecta a los
PDA
(Personal Digital Assistant), cuyo sistema operativo sea Windows CE.
Entre
las acciones que lleva a cabo destacan abrir un puerto que permita la
conexión desde el exterior, y copiarse en el directorio de inicio del
sistema (bajo el nombre de Svchost.exe). Asimismo, cuando afecta a un
sistema, Brador.A envia a quien lo ha creado un mensaje, anunciándole
la
disponibilidad del dispositivo.
Finalizamos el informe de hoy con Downloader.OG, troyano que
periódicamente
instala el adware Adware/Wupd, descargándolo desde una serie de sitios
web
predeterminados. En el equipo al que afecta, Downloader.OG también crea
-en
el directorio de sistema de Windows- el archivo BRIDGEX.DLL, que
realmente
es una copia suya.
Más información sobre éstas u otras amenazas informáticas en la
Enciclopedia
de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/
Información adicional
- Backdoor: programa que se introduce en el ordenador y establece una
puerta
trasera a través de la cual es posible controlar el sistema afectado,
sin
conocimiento por parte del usuario.
- Descarga/Download: acción por la que se obtienen ficheros de Internet
(de
páginas web o de lugares FTP destinados a este fin).
Más definiciones técnicas en:
http://www.pandasoftware.es/virus_info/glosario/default.aspx