- Informe semanal sobre virus e intrusos -
Virus Alerts, por Panda Software (http://www.pandasoftware.es)
Madrid, 3 de diciembre de 2004 - El informe de esta semana está
protagonizado por dos gusanos -Mugly.A y Gaobot.BXG-, un virus
denominado
Jabbit.A, el troyano Skulls.B y una aplicación llamada pcAudit.
Mugly.A es un gusano que se propaga a través del correo electrónico en
un
mensaje con características variables, que incluye un archivo adjunto
llamado ATTACHED.ZIP. A su vez, este fichero contiene un archivo
ejecutable,
que es el propio gusano.
En el equipo al que afecta, Mugly.A busca -en archivos cuya extensión
sea
ADB, ASP, DBX, DOC, HTM, HTML, PHP, SHT, TBB, TXT o WAB-, direcciones
de
correo electrónico a las que se envía, excepto a aquellas con cadenas
de
texto relativas a compañías antivirus.
Tras ser ejecutado, Mugly.A muestra en pantalla una imagen, e instala y
ejecuta otro gusano, que Panda Software detecta como Gaobot.BXG, que se
difunde realizando copias de sí mismo en los recursos compartidos de
red a
los que logra acceder.
Gaobot.BXG afecta a ordenadores con sistemas operativos Windows
2003/XP/2000/NT, aprovechándose para ello de las vulnerabilidades
LSASS, RPC
DCOM y WebDAV. Además, se conecta a un servidor de IRC determinado y
espera
órdenes para llevar a cabo acciones como obtener información del PC,
ejecutar archivos y realizar ataques de Denegación de Servicio
Distribuida
(DDoS).
Jabbit.A, por su parte, es un virus que no se propaga automáticamente
por
sus propios medios, y llega a otros ordenadores cuando se distribuyen
-a
través de cualquiera de las vías habituales (disquetes, CD-ROMs,
e-mails,
etc.)-, archivos previamente infectados. Este virus infecta, mediante
el
método de prepending, los archivos HTML que se encuentren en el
directorio
donde es ejecutado. También crea copias de sí mismo en la carpeta
Favoritos,
y hace que todos los enlaces de dicha carpeta apunten al propio virus,
para
así ser ejecutado cuando el usuario acceda a ellos.
Tras afectar a un PC, el día 13 de cada mes Jabbit.A provoca que
aparezcan
en pantalla varios mensajes. Después abre el navegador Internet
Explorer y
ofrece una determinada página web.
El siguiente ejemplar al que nos referimos hoy es Skulls.B, troyano que
ha
sido distribuido a través de foros especializados en telefonía móvil, y
que
para instalarse necesita la intervención del usuario. Afecta a
teléfonos
móviles basados en Symbian y, aunque inicialmente su objetivo eran los
teléfonos Nokia 7610, otros dispositivos basados en el citado sistema
operativo también pueden verse afectados por él.
Skulls.B cambia los iconos de todas las aplicaciones del teléfono por
otro
perteneciente a una determinada aplicación del sistema. Igualmente,
instala
los archivos correspondientes a otro malware que también afecta a
teléfonos
basados en Symbian, detectado por Panda Software como Cabir.A.
Finalizamos el presente informe con pcAudit, programa que ha sido
desarrollado por una empresa privada para comprobar el nivel de
seguridad
del ordenador. Simulando el ataque de un hacker, intenta enviar datos
(como
archivos y carpetas dentro del directorio Mis Documentos, capturas de
pantalla, pulsaciones de teclado, etc.) a un servidor. Si consigue
mandar la
información, puede resultar peligroso, ya que ésta viaja a través de
Internet sin ninguna clase de cifrado.
Más información sobre éstas u otras amenazas informáticas en la
Enciclopedia
de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/
Información adicional
- Freeware: software legalmente distribuido, de forma gratuita.
- Prepending: técnica para infectar ficheros que consiste en incluir el
código de un virus al principio del archivo infectado. De esta manera,
el
virus asegura su ejecución cuando se utiliza o abre el fichero
afectado.
Más definiciones técnicas en:
http://www.pandasoftware.es/virus_info/glosario/default.aspx