- Informe semanal sobre virus e intrusos - Virus Alerts, por Panda Software (http://www.pandasoftware.es)Madrid, 27 de agosto de 2004 - En el último informe de agosto vamos aocuparnos de cinco códigos maliciosos: un virus denominado Shruggle.1318;dos gusanos -Sasser.G y Gaobot.AIR-; y dos troyanos -MhtRedir.S yStartPage.JL-.Shruggle.1318 no se propaga automáticamente por sus propios medios, sino queextiende su infección a otros archivos. Infecta otros ordenadores cuando sedistribuyen los ficheros previamente infectados, que pueden llegar al PC através de cualquiera de las vías habituales: disquetes, mensajes de correoelectrónico con archivos adjuntos, descargas de Internet, transferencia dearchivos a través de FTP, canales de IRC y redes de intercambio de archivospunto a punto (P2P), etc.Shruggle.1318 infecta archivos ejecutables de tipo PE y DLLs (Librerías deEnlace Dinámico) en sistemas operativos Windows de 64 bits para procesadoresAMD. El primer gusano al que nos referimos hoy es Sasser.G, que se difunde através de Internet, atacando ordenadores remotos y aprovechándose de lavulnerabilidad LSASS. Para ello, realiza -mediante el puerto TCP 445-,peticiones ICMP a direcciones IP aleatorias. Sasser.G sólo se propaga automáticamente a ordenadores con Windows XP/2000,y funciona en el resto de sistemas operativos Windows si el archivo que locontiene es ejecutado por un usuario malicioso. Por último, cabe destacarque cuando Sasser.G explota la vulnerabilidad LSASS provoca undesbordamiento de buffer -en el programa LSASS.EXE-, que desencadena elreinicio del ordenador.Gaobot.AIR, por su parte, es un gusano con características de backdoor queemplea una gran variedad de medios para propagarse, como los que semencionan a continuación.- Aprovecha las vulnerabilidades LSASS, RPC DCOM y WebDAV para difundirse através de Internet.- Realiza copias de sí mismo en recursos compartidos de red, a los que lograacceso.- Puede entrar en ordenadores que tengan la aplicación SQL Server, cuyacuenta System Administrator (SA) tenga la contraseña en blanco.- Entra en ordenadores que tengan instalado el programa DameWare Mini RemoteControl, y en los equipos afectados por los siguientes backdoors: Optix,NetDevil, Kuang y SubSeven.Gaobot.AIR permite controlar, de forma remota, el PC al que afecta,posibilitando realizar en él acciones como ejecutar comandos, descargar yejecutar archivos y capturar las pulsaciones del teclado.Finalizamos el informe de hoy con MhtRedir.S, troyano que utiliza lavulnerabilidad indicada por Microsoft en el boletín MS04-013 para ejecutarseen el ordenador, cuando el usuario visita páginas web de contenidomalicioso. Cuando MhtRedir.S se ejecuta, se conecta a una determinada página web, de laque descarga un archivo llamado HELP.CHM. El citado fichero es, a su vez, untroyano denominado StartPage.JL, que cambia la página de inicio delnavegador Internet Explorer y sus opciones de búsqueda por defecto.Más información sobre éstas u otras amenazas informáticas en la Enciclopediade Panda Software, disponible en la dirección:http://www.pandasoftware.es/virus_info/enciclopedia/