Wednesday, October 20, 2004

 - Informe semanal sobre virus e intrusos -

   Virus Alerts, por Panda Software (http://www.pandasoftware.es)



Madrid, 15 de octubre de 2004 - El informe de la presente semana va a

ocuparse de Netsky.AG, Darby.gen, JPGTrojan.D, Funner.A y Nemsi.A.



Netsky.AG -que ha sido creado modificando el fichero ejecutable de

Netsky.B-

se envía por correo electrónico, utilizando su propio motor SMTP, a

todas

las direcciones que encuentra en ficheros con determinadas extensiones.

Para

engañar a los usuarios, Netsky.AG falsifica la dirección del remitente

del

mensaje en el que se manda, utilizando para ello alguna de las

direcciones

que recoge de los archivos existentes en el ordenador al que afecta.

Además,

este gusano se difunde a través de los programas de intercambio de

ficheros

punto a punto (P2P).



Tras ser ejecutado, Netsky.AG muestra en pantalla un mensaje de error e

intenta copiarse en todas las unidades del equipo, excepto en las que

corresponden a unidades de CD-ROM. A su vez, esta variante de Netsky

borra

las entradas pertenecientes a otros gusanos, entre los que se hallan

Mydoom.A y Mimail.T.



Darby.gen, por su parte, es una detección genérica de las variantes de

la

familia de gusanos Darby que pueden aparecer en el futuro. El citado

grupo

de gusanos se propaga a través del correo electrónico y de programas de

intercambio de archivos punto a punto (P2P). Asimismo, se caracteriza

por

terminar procesos correspondientes a diversos programas antivirus y a

otras

aplicaciones de seguridad -como, por ejemplo, cortafuegos y

herramientas de

monitorización del sistema-, dejando así al PC indefenso ante otros

ejemplares de malware. 



El tercer ejemplar al que nos referimos hoy es JPGTrojan.D, programa

que

permite crear imágenes en formato JPG que aprovechan la vulnerabilidad

denominada Desbordamiento de buffer en procesamiento JPEG (descrita en

el

boletín MS04-028 de Microsoft).



Entre los efectos que puede conllevar abrir una imagen creada por

JPGTrojan.D destacan especificar un puerto para abrir -para así

permitir

acceder al ordenador afectado-, y descargar un archivo ejecutable desde

Internet, para posteriormente ejecutarlo en el PC.



Funner.A es un gusano que se propaga a través del programa MSN

Messenger y

modifica el archivo HOSTS, para que así el usuario no pueda acceder a

ciertas páginas web. Además, en ordenadores con Windows Me/98/95 cambia

el

archivo SYSTEM.INI -para ejecutarse cada vez que se inicia el PC-, y

sobrescribe el archivo RUNDLL32.EXE, sustituyéndolo por una copia suya.



Finalizamos el informe de hoy con Nemsi.A, virus que no se difunde

automáticamente por sus propios medios. En concreto, llega a otros

ordenadores cuando se distribuyen los archivos que previamente ha

infectado

y que pueden entrar al ordenador a través de cualquiera de las vías

habituales (disquetes, CD-ROMs, mensajes de correo electrónico con

archivos

adjuntos, canales de IRC, etc.).



Nemsi.A infecta archivos con extensión EXE, incluyendo su código al

inicio

de los mismos (prepending). Tras afectar un equipo, este virus cambia

el

icono de los archivos EXE infectados  y, si es ejecutado el 13 de

septiembre, provoca un fallo de protección general (pantalla azul) de

Windows.



Más información sobre éstas u otras amenazas informáticas en la

Enciclopedia

de Panda Software, disponible en la dirección:

http://www.pandasoftware.es/virus_info/enciclopedia/



Información adicional



- Prepending: técnica para infectar ficheros que incluye el código de

un

virus al principio del fichero infectado. De esta manera, se asegura la

activación del virus cuando se utiliza o abre el archivo afectado.



Más definiciones técnicas en:

http://www.pandasoftware.es/virus_info/glosario/default.aspx
Publicado por en