- Informe semanal sobre virus e intrusos -
Virus Alerts, por Panda Software (http://www.pandasoftware.es)
Madrid, 19 de noviembre de 2004 - El informe sobre virus e intrusos de la presente semana se ocupa de cinco gusanos informáticos -Sober.I,
Bagle.BG, Yanz.A, Drew.A y Aler.A-, y de un troyano llamado Msnsoug.A.
Sober.I se envía por correo electrónico, utilizando su propio motor SMTP, en un mensaje escrito en alemán o en inglés, dependiendo del destinatario.
Obtiene direcciones de correo del equipo al que afecta y las almacena en ficheros. Además, para ejecutarse cada vez que se enciende el
ordenador, crea varias entradas en el Registro de Windows.
Bagle.BG, por su parte, se envía a través de correo electrónico en mensajes de características muy variables. Entre las acciones que lleva a cabo
se encuentra la apertura del puerto TCP 2002, permaneciendo a la escucha. De esa manera, se comporta como una puerta trasera que permite el acceso
remoto al ordenador afectado. Además, Bagle.BG finaliza procesos pertenecientes a diversas aplicaciones que realizan actualizaciones de programas
antivirus, dejando así el sistema desprotegido frente a los ataques de virus de nueva aparición.
Yanz.A es un gusano de correo electrónico que se distribuye en mensajes de características muy variables, que muestran direcciones de remite
falsas. También puede utilizar programas de intercambio de archivos punto a punto (P2P), creando ficheros -de nombre variable- con copias de sí mismo en
directorios que contengan la cadena de texto "shar". Tanto los mensajes de correo, como los archivos compartidos que crea, hacen referencia a la
cantante china Sun Yan Zi.
En el caso de que el archivo que lo contiene sea ejecutado, Yanz.A mostrará una pequeña ventana con el texto "Kernel Hatasi". Además, abrirá el
puerto TCP 67, permaneciendo a la escucha del mismo. A través de dicho puerto intentará descargar archivos conteniendo todo tipo de malware, que
Yanz.A se encargará de ejecutar inmediatamente.
Drew.A se propaga tanto a través de correo electrónico, como de aplicaciones P2P. En el primer caso, utiliza su propio motor SMTP para enviar
mensajes de formato muy variable. Tanto el asunto como el cuerpo de texto, así como el nombre del archivo adjunto, son escogidos de forma aleatoria a partir
de una lista de opciones. Para difundirse a través de aplicaciones P2P, Drew.A busca todas las carpetas con la cadena de texto "Share" que se
encuentren en el equipo, en las que se copia con nombres que puedan resultar atractivos o interesantes para el usuario, como "Cameron Dias.scr", "Delphi 8
keygen.com" y "DrWeb 4.32 Key.com".
En el caso de que el usuario ejecute el archivo adjunto al mensaje en el que se manda Drew.A, éste entra en acción creando en el equipo dos archivos
con copias de sí mismo. Al mismo tiempo, se envía a todas las entradas de la libreta de direcciones y procede al borrado de todos los archivos -que
tengan extensión HTM o TXT-, que encuentre en el ordenador.
El último gusano al que nos referimos hoy es el gusano Aler.A que, aunque hizo su aparición hace varios días, durante esta semana ha sido
distribuido de forma masiva en mensajes de correo electrónico. Los mismos llevan por asunto "Latest News about Arafat !!!", y adjuntan dos archivos. Uno de
ellos es un fichero de imagen mostrando una escena de los funerales del políticorecientemente fallecido. Sin embargo, el otro archivo contiene un
código diseñado para aprovechar una vulnerabilidad del navegador Internet Explorer. A través de ésta, se instala automáticamente en el equipo el gusano Aler.A, diseñado para propagarse en redes informáticas mal protegidas.
Finalizamos con Msnsoug.A, troyano que no se propaga automáticamente por sus propios medios. Tras afectar a un equipo, espera a que el usuario
inicie una sesión en el programa MSN Messenger para enviar -a todos los contactos que se encuentren activos en ese momento- un mensaje con un texto en
portugués.
Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/