Friday, October 15, 2004

- Informe semanal sobre virus e intrusos -

   Virus Alerts, por Panda Software (http://www.pandasoftware.es)



Madrid, 1 de octubre de 2004 - En el presente informe vamos a

referirnos a

dos gusanos -Noomy.A y Bagle.BB-, y a un troyano denominado HardFull.A.



Noomy.A se propaga a través del correo electrónico y de IRC. Cuando lo

hace

por e-mail se envía a direcciones que no contienen ciertas subcadenas y

que

obtiene en ficheros cuya extensión es: .dbx, .htm, .html o .php. Por

otra

parte, cuando se manda por IRC, Noomy.A implementa su propio servidor

HTTP y

envía varios mensajes a canales IRC que tiene codificados, junto con

enlaces

que invitan a conectarse al servidor HTTP del ordenador infectado. En

la

práctica, al acceder a los enlaces, se abre una página desde donde

pueden

descargase las copias del gusano. 



La propagación y el payload de Noomy.A dependen de la fecha en la que

se

ejecuta y del tipo de conexión a Internet utilizada. Entre las acciones

que

puede llevar a cabo este gusano destacan las siguientes:



- Finaliza procesos pertenecientes a herramientas de seguridad -como,

por

ejemplo, programas antivirus y cortafuegos-, dejando así al equipo

vulnerable al ataque de otros ejemplares de malware.



- Ataque de denegación de servicio, mediante el comando ping, a varios

sitios entre los que se encuentra el de Microsoft.



- Se conecta a un enlace para enviar datos del PC, como hora y fecha

del

sistema, si utiliza mswinsck.ocx, servidor SMTP y usuario de correo que

utiliza Outlook.



Tras ser ejecutado Noomy.A muestra un mensaje en pantalla, por lo que

su

presencia en un equipo es fácilmente reconocible.



El segundo gusano del presente informe es Bagle.BB, que se difunde a

través

del correo electrónico -en un mensaje escrito en inglés y de

características

variables-, y de programas de intercambio de archivos punto a punto

(P2P).



Bagle.BB abre el puerto TCP 81 y permanece a la escucha, a la espera de

que

se realice una conexión remota. A través de ella, permite acceder -de

forma

remota- al ordenador al que afecta, para realizar en él acciones que

pueden

comprometer la confidencialidad de los datos del usuario o dificultar

su

trabajo.



Bagle.BB termina procesos pertenecientes a herramientas de seguridad

como,

por ejemplo, programas antivirus, dejando así al equipo indefenso a los

ataques de otro malware. Además, Bagle.BB elimina del Registro de

Windows

las entradas correspondientes a variantes del gusano Netsky, evitando

así

que se ejecuten cuando se inicia el equipo.



Finalizamos el presente informe con HardFull.A, troyano que no se

propaga

automáticamente por sus propios medios, ya que precisa de la

intervención

del atacante para ello. Los medios empleados para difundirlo son

variados e

incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo

electrónico

con archivos adjuntos, descargas de Internet, etc.



HardFull.A crea un archivo que se llena a sí mismo con el texto

Win32.Delf.du_Ful, incrementando así su tamaño hasta que ocupa todo el

espacio disponible en el disco duro, provocando la ralentización e

incluso

el bloqueo del equipo. Igualmente, este troyano desactiva las

herramientas

de edición del Registro de Windows, y las opciones "Ejecutar" y

"Buscar" del

menú Inicio.



Más información sobre éstas u otras amenazas informáticas en la

Enciclopedia

de Panda Software, disponible en la dirección:

http://www.pandasoftware.es/virus_info/enciclopedia/.



Información adicional



- Payload: efectos producidos por un virus.



- Registro de Windows (Registry): fichero que almacena todos los

valores de

configuración e instalación de los programas que se encuentran

instalados y

de la propia definición del sistema operativo Windows.



Más definiciones técnicas en:

http://www.pandasoftware.es/virus_info/glosario/default.aspx
Publicado por en