Wednesday, October 20, 2004

 - Informe semanal sobre virus e intrusos -

Virus Alerts, por Panda Software (http://www.pandasoftware.es)

Madrid, 15 de octubre de 2004 - El informe de la presente semana va a
ocuparse de Netsky.AG, Darby.gen, JPGTrojan.D, Funner.A y Nemsi.A.

Netsky.AG -que ha sido creado modificando el fichero ejecutable de
Netsky.B-
se envía por correo electrónico, utilizando su propio motor SMTP, a
todas
las direcciones que encuentra en ficheros con determinadas extensiones.
Para
engañar a los usuarios, Netsky.AG falsifica la dirección del remitente
del
mensaje en el que se manda, utilizando para ello alguna de las
direcciones
que recoge de los archivos existentes en el ordenador al que afecta.
Además,
este gusano se difunde a través de los programas de intercambio de
ficheros
punto a punto (P2P).

Tras ser ejecutado, Netsky.AG muestra en pantalla un mensaje de error e
intenta copiarse en todas las unidades del equipo, excepto en las que
corresponden a unidades de CD-ROM. A su vez, esta variante de Netsky
borra
las entradas pertenecientes a otros gusanos, entre los que se hallan
Mydoom.A y Mimail.T.

Darby.gen, por su parte, es una detección genérica de las variantes de
la
familia de gusanos Darby que pueden aparecer en el futuro. El citado
grupo
de gusanos se propaga a través del correo electrónico y de programas de
intercambio de archivos punto a punto (P2P). Asimismo, se caracteriza
por
terminar procesos correspondientes a diversos programas antivirus y a
otras
aplicaciones de seguridad -como, por ejemplo, cortafuegos y
herramientas de
monitorización del sistema-, dejando así al PC indefenso ante otros
ejemplares de malware.

El tercer ejemplar al que nos referimos hoy es JPGTrojan.D, programa
que
permite crear imágenes en formato JPG que aprovechan la vulnerabilidad
denominada Desbordamiento de buffer en procesamiento JPEG (descrita en
el
boletín MS04-028 de Microsoft).

Entre los efectos que puede conllevar abrir una imagen creada por
JPGTrojan.D destacan especificar un puerto para abrir -para así
permitir
acceder al ordenador afectado-, y descargar un archivo ejecutable desde
Internet, para posteriormente ejecutarlo en el PC.

Funner.A es un gusano que se propaga a través del programa MSN
Messenger y
modifica el archivo HOSTS, para que así el usuario no pueda acceder a
ciertas páginas web. Además, en ordenadores con Windows Me/98/95 cambia
el
archivo SYSTEM.INI -para ejecutarse cada vez que se inicia el PC-, y
sobrescribe el archivo RUNDLL32.EXE, sustituyéndolo por una copia suya.

Finalizamos el informe de hoy con Nemsi.A, virus que no se difunde
automáticamente por sus propios medios. En concreto, llega a otros
ordenadores cuando se distribuyen los archivos que previamente ha
infectado
y que pueden entrar al ordenador a través de cualquiera de las vías
habituales (disquetes, CD-ROMs, mensajes de correo electrónico con
archivos
adjuntos, canales de IRC, etc.).

Nemsi.A infecta archivos con extensión EXE, incluyendo su código al
inicio
de los mismos (prepending). Tras afectar un equipo, este virus cambia
el
icono de los archivos EXE infectados y, si es ejecutado el 13 de
septiembre, provoca un fallo de protección general (pantalla azul) de
Windows.

Más información sobre éstas u otras amenazas informáticas en la
Enciclopedia
de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/

Información adicional

- Prepending: técnica para infectar ficheros que incluye el código de
un
virus al principio del fichero infectado. De esta manera, se asegura la
activación del virus cuando se utiliza o abre el archivo afectado.

Más definiciones técnicas en:
http://www.pandasoftware.es/virus_info/glosario/default.aspx