- Informe semanal sobre virus e intrusos -
Virus Alerts, por Panda Software (http://www.pandasoftware.es)
Madrid, 5 de noviembre de 2004 - Los gusanos Bagz.H y Mitglieder.AY,
así
como el troyano Citifraud.A, centran la atención del informe sobre
virus e
intrusos de la presente semana.
Bagz.H se propaga empleando el correo electrónico. Para ello, en los
equipos
a los que afecta, busca direcciones en archivos con extensiones DBX,
TXT,
HTM, TBB o TBI que se encuentren en el ordenador. Sin embargo, no se
envía a
todas las que encuentra, ya que evita aquellas direcciones que
contengan
cadenas de texto como abuse, admin. o administrator@, entre otras.
Los mensajes de correo electrónico en los que Bagz.H se envía no tienen
un
formato determinado, ya que tanto el asunto como el cuerpo de texto,
así
como el nombre del archivo adjunto, son muy variables. En caso de que
el
usuario ejecute dicho fichero adjunto, Bagz.H se instala como un
servicio
llamado Xuy v palto. Además, el gusano modifica el fichero de hosts de
Windows, de manera que impide el acceso a determinadas direcciones de
Internet.
Por otra parte, Bagz.H borra las entradas del registro de Windows
correspondientes a ciertas aplicaciones antivirus y de seguridad, e
introduce otras que le permitirán estar activo cada vez que se reinicie
el
equipo.
Mitglieder.AY es un código malicioso estrechamente relacionado con los
gusanos Bagle.BC y Bagle. BE (detectados hace unos días), ya que
aprovecha
los efectos de éstos para introducirse en los ordenadores directamente
desde
Internet. Mitglieder.AY emplea las puertas traseras que ambas variantes
de
Bagle crean en el puerto TCP 81. Así, Mitglieder.AY examina direcciones
IP
en busca de algún equipo que tenga abierto dicho puerto. En caso de
encontrarlo, el gusano se introduce en el sistema y crea una copia de
sí
mismo en un archivo llamado winshost.exe.
A partir de ese momento, Mitglieder.AY finaliza procesos en memoria
correspondientes a diversas aplicaciones. Además de ello, cada 6 horas
intenta descargar el fichero zoo.jpg desde un gran número de
direcciones de
Internet predeterminadas. Si lo consigue, dicho archivo se almacena en
el
equipo con el nombre File.exe. Éste último, cuando es ejecutado, se
ocupa de
descargar otros tipos de malware.
Finalmente, el troyano Citifraud.A es, en realidad, un fichero escrito
en
HTML que, aprovechando una conocida vulnerabilidad del navegador
Microsoft
Internet Explorer, contiene un link que simula enlazar con una
dirección de
una conocida entidad bancaria. Sin embargo, dicha dirección conduce a
una
falsa página web que imita el aspecto de la original. De esta manera,
intenta conseguir que el usuario introduzca datos relativos a sus
cuentas,
con los que un hacker puede llevar a cabo fraudes financieros.
Más información sobre éstas u otras amenazas informáticas en la
Enciclopedia
de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/
Información adicional
- Puerto de comunicaciones/puerto: punto de acceso a un ordenador o
medio a
través del cual tienen lugar las transferencias de información
(entradas/salidas), del sistema con el exterior y viceversa (vía
TCP/IP).
- Vulnerabilidades: fallos o huecos de seguridad detectados en algún
programa o sistema informático, que los virus utilizan para propagarse
e
infectar.
Más definiciones técnicas en:
http://www.pandasoftware.es/virus_info/glosario/default.aspx