Friday, October 15, 2004

- Informe semanal sobre virus e intrusos -

Virus Alerts, por Panda Software (http://www.pandasoftware.es)

Madrid, 1 de octubre de 2004 - En el presente informe vamos a
referirnos a
dos gusanos -Noomy.A y Bagle.BB-, y a un troyano denominado HardFull.A.

Noomy.A se propaga a través del correo electrónico y de IRC. Cuando lo
hace
por e-mail se envía a direcciones que no contienen ciertas subcadenas y
que
obtiene en ficheros cuya extensión es: .dbx, .htm, .html o .php. Por
otra
parte, cuando se manda por IRC, Noomy.A implementa su propio servidor
HTTP y
envía varios mensajes a canales IRC que tiene codificados, junto con
enlaces
que invitan a conectarse al servidor HTTP del ordenador infectado. En
la
práctica, al acceder a los enlaces, se abre una página desde donde
pueden
descargase las copias del gusano.

La propagación y el payload de Noomy.A dependen de la fecha en la que
se
ejecuta y del tipo de conexión a Internet utilizada. Entre las acciones
que
puede llevar a cabo este gusano destacan las siguientes:

- Finaliza procesos pertenecientes a herramientas de seguridad -como,
por
ejemplo, programas antivirus y cortafuegos-, dejando así al equipo
vulnerable al ataque de otros ejemplares de malware.

- Ataque de denegación de servicio, mediante el comando ping, a varios
sitios entre los que se encuentra el de Microsoft.

- Se conecta a un enlace para enviar datos del PC, como hora y fecha
del
sistema, si utiliza mswinsck.ocx, servidor SMTP y usuario de correo que
utiliza Outlook.

Tras ser ejecutado Noomy.A muestra un mensaje en pantalla, por lo que
su
presencia en un equipo es fácilmente reconocible.

El segundo gusano del presente informe es Bagle.BB, que se difunde a
través
del correo electrónico -en un mensaje escrito en inglés y de
características
variables-, y de programas de intercambio de archivos punto a punto
(P2P).

Bagle.BB abre el puerto TCP 81 y permanece a la escucha, a la espera de
que
se realice una conexión remota. A través de ella, permite acceder -de
forma
remota- al ordenador al que afecta, para realizar en él acciones que
pueden
comprometer la confidencialidad de los datos del usuario o dificultar
su
trabajo.

Bagle.BB termina procesos pertenecientes a herramientas de seguridad
como,
por ejemplo, programas antivirus, dejando así al equipo indefenso a los
ataques de otro malware. Además, Bagle.BB elimina del Registro de
Windows
las entradas correspondientes a variantes del gusano Netsky, evitando
así
que se ejecuten cuando se inicia el equipo.

Finalizamos el presente informe con HardFull.A, troyano que no se
propaga
automáticamente por sus propios medios, ya que precisa de la
intervención
del atacante para ello. Los medios empleados para difundirlo son
variados e
incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo
electrónico
con archivos adjuntos, descargas de Internet, etc.

HardFull.A crea un archivo que se llena a sí mismo con el texto
Win32.Delf.du_Ful, incrementando así su tamaño hasta que ocupa todo el
espacio disponible en el disco duro, provocando la ralentización e
incluso
el bloqueo del equipo. Igualmente, este troyano desactiva las
herramientas
de edición del Registro de Windows, y las opciones "Ejecutar" y
"Buscar" del
menú Inicio.

Más información sobre éstas u otras amenazas informáticas en la
Enciclopedia
de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/.

Información adicional

- Payload: efectos producidos por un virus.

- Registro de Windows (Registry): fichero que almacena todos los
valores de
configuración e instalación de los programas que se encuentran
instalados y
de la propia definición del sistema operativo Windows.

Más definiciones técnicas en:
http://www.pandasoftware.es/virus_info/glosario/default.aspx