- Informe semanal sobre virus e intrusos - Virus Alerts, por Panda Software (http://www.pandasoftware.es)Madrid, 13 de agosto de 2004 - El informe de hoy está protagonizado por lavariante AM de Bagle y por los troyanos: Leritand.A, Leritand.B, Leritand.C,y Toquimos.A.Bagle.AM apareció a principios de esta semana y, en un breve espacio detiempo, afectó a numerosos equipos. Se propaga a través del correoelectrónico en un mensaje escrito en inglés que carece de asunto, e incluyeun archivo cuyo nombre es variable y tiene extensión ZIP. El fichero integrados elementos: - Illwill.A, archivo HTML que contiene un exploit que Bagle.AM utiliza paraafectar al ordenador sin que el usuario se dé cuenta.- Un archivo EXE, que es ejecutado cuando el usuario abre el archivoIllwill.A.Una vez que ha afectado un ordenador, Bagle.AM intenta descargar un falsoarchivo JPG desde diversos sitios web y, si lo consigue, empieza adifundirse. Adicionalmente, Bagle.AM se propaga a través de programas deintercambio de archivos punto a punto (P2P).En el equipo al que afecta, Bagle.AM abre un puerto TCP y permanece a laescucha, permitiendo a un hacker acceder al ordenador. Asimismo, este gusanofinaliza procesos pertenecientes a diversas aplicaciones entre las que seencuentran programas de actualización de antivirus, lo que impide que puedanofrecer protección contra virus de nueva aparición. Asimismo, si el equipoestá afectado por alguna variante del gusano Netsky, Bagle.AM evita que seejecute cuando se inicia Windows.Leritand.A, Leritand.B y Leritand.C son troyanos que cambian el prefijo delas direcciones web que comienzan por www, redireccionándolas a un sitio webque se encarga de abrir la página web originalmente solicitada por elusuario. Además, este código malicioso desactiva los manipuladores URL delos protocolos its, ms-its y mhtml, lo que puede provocar que algunossistemas de ayuda no funcionen. Adicionalmente, estos troyanos cambian lapágina de inicio y de búsqueda por defecto del navegador Internet Explorer,y añaden enlaces a la carpeta Favoritos.Finalizamos el informe de hoy con Toquimos.A, troyano que únicamente afectaa teléfonos móviles Nokia serie 60. No se propaga por sí mismo, ya que debeser instalado y ejecutado por el usuario. Su medio de distribución másfrecuente son las redes de intercambio de archivos punto a punto (P2P).Tras ser ejecutado, Toquimos.A comprueba si el teléfono tiene instalada laversión pirata de un juego. Si es así manda, sin consentimiento del usuario,un mensaje SMS a un número de teléfono de tarifa especial. El citado mensajeSMS es enviado cada vez que se ejecuta el juego.Más información sobre éstas u otras amenazas informáticas en la Enciclopediade Panda Software, disponible en la dirección:http://www.pandasoftware.es/virus_info/enciclopedia/Información adicional- Exploit: técnica o programa que aprovecha un fallo o hueco de seguridad-una vulnerabilidad- existente en un determinado protocolo decomunicaciones, sistema operativo, o herramienta informática.- P2P (Peer to peer): programas -o conexiones de red- empleados para prestarservicios a través de Internet (intercambio de ficheros, generalmente), quelos virus y otros tipos de amenazas utilizan para distribuirse. Algunosejemplos de estos programas son KaZaA, Emule, eDonkey, etc.Más definiciones técnicas en:http://www.pandasoftware.es/virus_info/glosario/default.aspx