- Informe semanal sobre virus e intrusos -
Virus Alerts, por Panda Software (http://www.pandasoftware.es)
Madrid, 26 de noviembre de 2004 - El presente informe va a centrar su
atención en cuatro gusanos -Tasin.A, Tasin.B, Tasin.C y Yanz.B-, y en
un
troyano denominado Skulls.A.
Las variantes A, B y C de Tasin se envían por correo electrónico,
utilizando
su propio motor SMTP y con conexión a su propio servidor SMTP local, en
un
mensaje escrito en castellano y de características variables. Además,
las
tres contienen código que intenta borrar los archivos que tengan como
extensión alguna de las siguientes: ASM, ASP, BDSPROJ, BMP, CPP, CS,
CSPROJ,
CSS, DOC, DPR, FRM, GIF, HTM, HTML, JPEG, JPG, MDB, MP3, NFM, NRG, PAS,
PCX,
PDF, PHP, PPT, RC, RC2, REG, RESX, RPT, SLN, TXT, VB, VBP, VBPROJ, WAV
y
XLS.
Tasin.B y Tasin.C intentan descargar de Internet una DLL (Librería de
Enlace
Dinámico). También crean, en el directorio de sistema de Windows, el
fichero
"SS.EXE", joke que Panda Software detecta como Joke/Beeper.
A las características que comparten Tasin.A, Tasin.B y Tasin.C se suman
diferencias notables, entre las que destacan las que se mencionan a
continuación.
- Tasin.A establece una conexión HTTP con un determinado sitio web.
Además,
tras ser ejecutado, aparecen en pantalla varios mensajes que simulan un
juego y cuyo objetivo es distraer al usuario, para que así no advierta
que
Tasin.A está enviándose rápidamente por correo electrónico.
- Tasin.B: muestra un mensaje de error.
- Una vez que ha afectado a un PC, Tasin.C abre Internet Explorer y
muestra
en pantalla una fotografía erótica de un conocido personaje en España.
El cuarto gusano al que nos referimos hoy es Yanz.B, que se difunde a
través
del correo electrónico, en un mensaje escrito en inglés y de
características
variables, y a través de programas de intercambio de archivos punto a
punto
(P2P). Los mensajes de correo y los archivos compartidos hacen
referencia a
la cantante Sun Yan Zi.
En el equipo al que afecta, Yanz.B crea tres archivos JPG, uno de los
cuales
contiene el exploit MS04-028.gen, que intenta aprovechar la
vulnerabilidad
Desbordamiento de buffer en procesamiento JPEG. Si el citado fichero es
abierto utilizando una aplicación vulnerable, se descargará de Internet
un
archivo -que puede ser de cualquier naturaleza, incluyendo malware-,
que se
ejecutará.
Terminamos el informe de hoy con Skulls.A, troyano que ha sido
distribuido a
través de foros especializados en telefonía móvil. Afecta a teléfonos
móviles basados en el sistema operativo Symbian. Aunque inicialmente su
objetivo eran los teléfonos Nokia 7610, otros dispositivos basados en
el
citado sistema operativo pueden verse afectados por Skulls.A.
Para instalarse en el teléfono móvil, Skulls.A necesita la intervención
del
usuario. Para atraer su atención, este troyano simula ser un instalador
de
un programa que proporciona fondos de pantalla, iconos, etc. Sin
embargo,
una vez instalado, cambia los iconos de todas las aplicaciones del
teléfono
por calaveras.
Más información sobre éstas u otras amenazas informáticas en la
Enciclopedia
de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/