Thursday, November 11, 2004

- Informe semanal sobre virus e intrusos -

   Virus Alerts, por Panda Software (http://www.pandasoftware.es)



Madrid, 5 de noviembre de 2004 - Los gusanos Bagz.H y Mitglieder.AY,

así

como el troyano Citifraud.A, centran la atención del informe sobre

virus e

intrusos de la presente semana.



Bagz.H se propaga empleando el correo electrónico. Para ello, en los

equipos

a los que afecta, busca direcciones en archivos con extensiones DBX,

TXT,

HTM, TBB o TBI que se encuentren en el ordenador. Sin embargo, no se

envía a

todas las que encuentra, ya que evita aquellas direcciones que

contengan

cadenas de texto como abuse, admin. o administrator@, entre otras.



Los mensajes de correo electrónico en los que Bagz.H se envía no tienen

un

formato determinado, ya que tanto el asunto como el cuerpo de texto,

así

como el nombre del archivo adjunto, son muy variables. En caso de que

el

usuario ejecute dicho fichero adjunto, Bagz.H se instala como un

servicio

llamado Xuy v palto. Además, el gusano modifica el fichero de hosts de

Windows, de manera que impide el acceso a determinadas direcciones de

Internet.



Por otra parte, Bagz.H borra las entradas del registro de Windows

correspondientes a ciertas aplicaciones antivirus y de seguridad, e

introduce otras que le permitirán estar activo cada vez que se reinicie

el

equipo.



Mitglieder.AY es un código malicioso estrechamente relacionado con los

gusanos Bagle.BC y Bagle. BE (detectados hace unos días), ya que

aprovecha

los efectos de éstos para introducirse en los ordenadores directamente

desde

Internet. Mitglieder.AY emplea las puertas traseras que ambas variantes

de

Bagle crean en el puerto TCP 81. Así, Mitglieder.AY examina direcciones

IP

en busca de algún equipo que tenga abierto dicho puerto. En caso de

encontrarlo, el gusano se introduce en el sistema y crea una copia de


mismo en un archivo llamado winshost.exe.



A partir de ese momento, Mitglieder.AY finaliza procesos en memoria

correspondientes a diversas aplicaciones. Además de ello, cada 6 horas

intenta descargar el fichero zoo.jpg desde un gran número de

direcciones de

Internet predeterminadas. Si lo consigue, dicho archivo se almacena en

el

equipo con el nombre File.exe. Éste último, cuando es ejecutado, se

ocupa de

descargar otros tipos de malware.



Finalmente, el troyano Citifraud.A es, en realidad, un fichero escrito

en

HTML que, aprovechando una conocida vulnerabilidad del navegador

Microsoft

Internet Explorer, contiene un link que simula enlazar con una

dirección de

una conocida entidad bancaria. Sin embargo, dicha dirección conduce a

una

falsa página web que imita el aspecto de la original. De esta manera,

intenta conseguir que el usuario introduzca datos relativos a sus

cuentas,

con los que un hacker puede llevar a cabo fraudes financieros.



Más información sobre éstas u otras amenazas informáticas en la

Enciclopedia

de Panda Software, disponible en la dirección:

http://www.pandasoftware.es/virus_info/enciclopedia/



Información adicional



- Puerto de comunicaciones/puerto: punto de acceso a un ordenador o

medio a

través del cual tienen lugar las transferencias de información

(entradas/salidas), del sistema con el exterior y viceversa (vía

TCP/IP).



- Vulnerabilidades: fallos o huecos de seguridad detectados en algún

programa o sistema informático, que los virus utilizan para propagarse

e

infectar.



Más definiciones técnicas en:

http://www.pandasoftware.es/virus_info/glosario/default.aspx
Publicado por en