- Informe semanal sobre virus e intrusos - Virus Alerts, por Panda Software (http://www.pandasoftware.es)Madrid, 22 de octubre de 2004 - El informe de hoy centra su atención enConstructor/EMFTrojan.C, Netsky.AH, Netsky.AI, Bagz.E, Mydoom.AD yScranor.A.Constructor/EMFTrojan.C es un programa que crea imágenes mal construidas,que intentan aprovechar la vulnerabilidad de ejecución remota de código enla interpretación de formatos de imagen Enhanced Metafile (EMF), descrita enel boletín MS04-032 de Microsoft. Para configurar el código que se genera, Constructor/EMFTrojan ofrece variasopciones, permitiendo elegir si, cuando se abre la imagen, se lleva a cabouna de las siguientes acciones:- Apertura de un puerto, a través del cual pueden enviarse comandos alequipo afectado.- Descarga, desde una URL especificada, de un archivo y posterior ejecucióndel mismo.Para proteger los equipos de la citada amenaza, y de otras similares, PandaSoftware ha desarrollado Exploit/MS04-032.gen, que es una detección genéricapara las imágenes EMF construidas para aprovechar la citada vulnerabilidad.Los primeros gusanos que mencionamos hoy son las variantes AH y AI deNestky, que se envían por correo electrónico, utilizando su propio motorSMTP, a las direcciones que obtienen en los ficheros que ocupen menos de10.000.000 bytes y cuya extensión sea una de las siguientes: DBX, WAB, MBX,EML, MDB, TBB y DAT. Se mandan 10 minutos después de haber sido ejecutados ysu difusión está condicionada a la fecha, ya que sólo se envían del 20 al 25de octubre de 2.004. Además, para evitar varias ejecuciones simultáneas,Nestky.AH y Netsky.AI crean el mutex "0x452A561C". El siguiente gusano del presente informe es Bagz.E, que se propaga a travésdel correo electrónico, en un mensaje de correo electrónico escrito eninglés y de características variables. Finaliza procesos pertenecientes aprogramas de seguridad -como antivirus-, lo que deja al ordenador al que haafectado indefenso frente al ataque de otros ejemplares de malware.En el directorio de Windows del equipo al que afecta, Bagz.E crea variosarchivos. Asimismo, este gusano modifica el archivo HOSTS, impidiendo así elacceso a páginas web pertenecientes a varias compañías antivirus y deseguridad informática.Mydoom.AD, por su parte, se difunde a través del correo electrónico en unmensaje de características variables y escrito en inglés. En la práctica,falsifica la dirección del remitente del mensaje en el que se manda,combinando una lista de nombres y dominios.Empleando su propio motor SMTP, Mydoom.AD envía una copia de sí mismo atodas las direcciones que ha recogido en archivos con las siguientesextensiones (que no contengan determinadas cadenas de texto): ADB, ASP, CFG,CGI, DBX, EML, HTM, HTML, JSP, MBX, MDX, MSG, PHP, PL, SHT, TBB, TXT, UIN,VBS, WAB, WSH, XLS y XML.Para asegurarse de que de forma simultánea no se ejecutará más de una copiasuya, Mydoom.AD crea un mutex llamado My-Game. Como el anterior gusanomencionado en este informe, Mydoom.AD también modifica el archivo HOSTS,impidiendo al equipo al que afecta acceder a las páginas web dedeterminadas compañías antivirus. La variante AD de Mydoom intenta descargar, desde una página web, un archivocorrespondiente a otro gusano denominado Scranor.A. En concreto, guarda elarchivo que lo contiene en el directorio raíz, lo renombra y lo ejecuta.Finalizamos con Scranor.A, gusano que se reproduce creando copias de símismo, sin infectar otros ficheros. Su objetivo fundamental es colapsar losordenadores y las redes, impidiendo así que puedan utilizarse. Más información sobre éstas u otras amenazas informáticas en la Enciclopediade Panda Software, disponible en la dirección:http://www.pandasoftware.es/virus_info/enciclopedia/Información adicional- SMTP (Simple Mail Transfer Protocol): protocolo que se utiliza en Internetpara el envío (exclusivamente) de correo electrónico.Más definiciones técnicas en:http://www.pandasoftware.es/virus_info/glosario/default.aspx