Monday, September 27, 2004

- Informe semanal sobre virus e intrusos - Virus Alerts, por Panda Software (http://www.pandasoftware.es)Madrid, 24 de septiembre de 2004 - Un programa denominadoConstructor/JPGDownloader, una herramienta de hacking denominadaSentinelSteal, dos troyanos -Malam.A y Malam.B- y tres gusanos -Fightrub.A,Bagle.BA y Rayl.A- protagonizan el último informe del mes de septiembre.Constructor/JPGDownloader es una aplicación que permite crear imágenes enformato JPG, que aprovechan una vulnerabilidad denominada "Desbordamiento debuffer en procesamiento JPEG". En la práctica, este problema de seguridadpermite -cuando se abre una imagen con un programa vulnerable- descargardesde una dirección de Internet un archivo (que puede ser un virus, ungusano, un troyano, etc.) y ejecutarlo en el equipo. Tras ejecutarse Constructor/JPGDownloader, aparece una pantalla en la que sele solicita al usuario malicioso que introduzca la URL desde la que debedescargarse el fichero a ejecutar. Si el usuario acepta, se generará unfichero en formato JPG que contiene la información necesaria para descargary ejecutar un archivo que, como se ha mencionado antes, podría ser códigomalicioso (un gusano, un virus, etc.).SentinelSteal, por su parte, es una herramienta de hacking que puede serejecutada de forma oculta, para que así el usuario cuyo equipo ha resultadoafectado no perciba su presencia, ni las acciones que lleva a cabo, entrelas que destacan las siguientes: - Captura las pulsaciones de teclado realizadas por el usuario, incluidaslas de los textos introducidos en mensajes de correo electrónico,conversaciones de chat, programas de mensajería instantánea, etc.- Registra las páginas visitadas y es capaz de bloquear el acceso adeterminadas web.- Realiza capturas de la pantalla, a intervalos predeterminados.SentinelSteal envía -por e-mail o por FTP- la información que obtiene, yposteriormente la borra. Otra característica reseñable de esta herramientade hacking es que está protegido por contraseña.Malam.A y Malam.B son dos troyanos que han sido enviados masivamente enmensajes de correo electrónico, que incluyen un enlace a una dirección web,que alberga un script. En la práctica, cuando el usuario accede a ladirección, el script instala un archivo ejecutable que descarga el principalcomponente de los citados troyanos en el PC.En los equipos en los que se instala, Malam.A abre un puerto, a través delcual es posible el acceso para realizar acciones que pueden comprometer laconfidencialidad de los datos del usuario o dificultar su trabajo.Adicionalmente, este troyano cambia la página de inicio del navegadorInternet Explorer.La variante B de Malam abre el puerto 9687 y hace que el ordenador afectadofuncione como servidor proxy, actuando como intermediario entre el equipodel atacante y el sitio final al que éste se conecta para realizar diversasacciones (distribuir spam, acceder al PC para obtener información, etc.).El primer gusano que analizamos hoy es Fightrub.A, que se propaga a travésdel correo electrónico -en un mensaje escrito en inglés y de característicasvariables-,y de programas de intercambio de archivos punto a punto (P2P). Supresencia en un equipo es fácilmente reconocible, ya que tras ser ejecutadomuestra en pantalla el siguiente texto: "Serial: 41191480 File crack". El segundo gusano al que nos referimos es Bagle.BA, que ha sido enviadomasivamente en un e-mail escrito en inglés, cuyo asunto es "photo-gallery!=)", e incluye un archivo adjunto llamado "FOTO.ZIP". En el equipo al que afecta, Bagle.BA instala un keylogger -que PandaSoftware detecta como Application/Keyhook.A-, que registra todas laspulsaciones de teclado realizadas por el usuario. Además, también recogeotro tipo de información como, por ejemplo, datos del sistema, nombres deusuario y contraseñas de varios programas instalados y cuentas de acceso aInternet. La información que obtiene, la envía -a través del correoelectrónico-, al autor de su código. Por último, también merece mencionarseque este gusano abre el puerto 2050 y permanece a la espera de conexionesremotas, a través de las cuales aceptará comandos de control.Terminamos el informe de hoy con Rayl.A, gusano que se difunde a través delprograma de mensajería instantánea MSN Messenger. En concreto, se recibe unmensaje con un enlace a una imagen, que está alojada en una página web.Cuando el usuario pulsa el enlace para abrir la imagen -que en realidad esun archivo HTM-, Rayl.A afecta al equipo. Además, este código maliciosointenta aprovechar la vulnerabilidad MhtRedir.gen para descargar y ejecutarotro malware en el ordenador. Más información sobre éstas u otras amenazas informáticas en la Enciclopediade Panda Software, disponible en la dirección:http://www.pandasoftware.es/virus_info/enciclopedia/.