Thursday, September 16, 2004

- Informe semanal sobre virus e intrusos - Virus Alerts, por Panda Software (http://www.pandasoftware.es)Madrid, 10 de septiembre de 2004 - El presente informe se ocupa de sietegusanos -cuatro variantes de Mydoom (la T, U, V y W ), Mywife.D, Mywife.C ySdbot.AQA-, y de dos programas de tipo adware denominados Neededware y WUpd.Mydoom.T, Mydoom.U, Mydoom.V y Mydoom.W se propagan por correo electrónico,en un mensaje escrito en inglés y de características variables. A su vez, lavariante T también emplea el programa de intercambio de archivos punto apunto (P2P) Kazaa, copiándose -en el directorio compartido de estaaplicación-, con nombres sugerentes.Las variantes U, V y W de Mydoom se conectan a varios sitios web, de los queintentan descargar un archivo -perteneciente a un backdoor-, para despuésinstalarlo en el ordenador al que afectan. Mydoom.T, por su parte, abre elprograma Notepad y muestra caracteres basura.Los siguientes gusanos a los que nos referimos son Mywife.D y Mywife.C, quese difunden a través del correo electrónico en un mensaje de característicasvariables. Además, ambos ejemplares comparten las siguientescaracterísticas:- Unos segundos después de su ejecución, bloquean el ordenador, ya queconsumen todo el tiempo de trabajo disponible del procesador.- Borran los archivos pertenecientes a diversos programas antivirus, que seencuentren en los mismos directorios que ambos gusanos tiene indicados pordefecto. También eliminan las entradas del Registro de Windowspertenecientes a las referidas aplicaciones antivirus, impidiendo así que seejecuten automáticamente la próxima vez que se inicie Windows. Además,buscan y finalizan los procesos correspondientes a programas antivirus y deseguridad, dejando así a los ordenadores a los que afectan vulnerables a losataques de otros ejemplares de malware.- Borran las entradas correspondientes a otros gusanos como, por ejemplo,Mydoom.A, Mimail.T y diferentes variantes de Bagle.- Abren el programa Windows Media Player.El séptimo gusano que analizamos es Sdbot.AQA, que se propaga a través deredes de ordenadores. Para ello, comprueba si el PC al que ha afectado seencuentra conectado a una red. En caso afirmativo, trata de acceder a losrecursos compartidos -empleando para ello contraseñas que son típicas ofáciles de adivinar-, en los que se copia.Sdbot.AQA permite a los hackers acceder, de manera remota, al ordenador pararealizar en él acciones que comprometen la confidencialidad de los datos delusuario o dificultan su trabajo. Además, este gusano utiliza su propiocliente IRC para conectarse a un canal concreto y aceptar comandos decontrol (como, por ejemplo, lanzar ataques de Denegación de Servicio -DoS-contra páginas web). También puede descargar y ejecutar archivos en elequipo.Finalizamos el informe de hoy con Neededware y WUpd, dos programas de tipoadware que permiten la descarga y ejecución de programas sin elconsentimiento del usuario. Es fácil detectar su presencia en un equipo, yaque muestran mensajes con contenidos publicitarios. A su vez, WUpdmonitoriza los hábitos de navegación en Internet del usuario, en base a loscuales hace que aparezcan en pantalla determinados anuncios.Más información sobre éstas u otras amenazas informáticas en la Enciclopediade Panda Software, disponible en la dirección:http://www.pandasoftware.es/virus_info/enciclopedia/Información adicional- Backdoor: programa que se introduce en el ordenador y establece una puertatrasera a través de la cual es posible controlar el sistema afectado, sinconocimiento por parte del usuario.- Denegación de Servicios (DoS): ataque, causado en ocasiones por los virus,que impide la utilización de ciertos servicios (del sistema operativo, deservidores Web, etc).Más definiciones técnicas en:http://www.pandasoftware.es/virus_info/glosario/default.aspx