- Informe semanal sobre virus e intrusos - Virus Alerts, por Panda Software (http://www.pandasoftware.es)Madrid, 17 de diciembre de 2004 - Cinco gusanos -Zafi.D, Atak.H, Atak.I, Atak.J y Janx.A-, y el troyano HideProc.B protagonizan el presente informe.A principios de esta semana, Zafi.D se difundió rápidamente a un gran número de equipos, en mensajes de correo electrónico de características variables, que se hacían pasar por felicitaciones navideñas. Es un gusano multilingüe, ya que es capaz de adaptar el idioma del texto que aparece en e-mail en el que se manda, en función del dominio de la dirección a la que se envía. Además, Zafi.D puede propagarse a través de programas de intercambio de archivos punto a punto (P2P). Zafi.D tiene características de backdoor, ya que abre el puerto 8181 y espera que un archivo -que generalmente es otro ejemplar de malware- sea transferido para, a continuación, ejecutarlo. Asimismo, impide el acceso a aquellas aplicaciones que contengan las cadenas de texto regedit, msconfig y task. Tras afectar un PC, Zafi.D muestra en pantalla un mensaje de error.Como Zafi.D, las variantes H, I y J de Atak también se propagan a través de correo electrónico, en mensajes que simulan ser felicitaciones navideñas. Llegan a los equipos en e-mails cuyo asunto es "Merry X-Mas!" o "Happy New Year!", mientras que en el cuerpo del mismo puede leerse "Happy New year and wish you good luck on next year!", o "Mery Chrismas & Happy New Year! 2005 will be the beginning!"Los mensajes en los que se envían Atak.H, Atak.I y Atak.J incluyen un archivo adjunto en formato .zip que, a su vez, contiene un fichero que puede tener por nombre bat, com, pif o scr. Si el usuario lo ejecuta, los gusanos generan copias de sí mismos en el directorio de sistema de Windows con el nombre dec25.exe. Al mismo tiempo, se envían -utilizando su propio motor SMTP-, a todas las direcciones que encuentran en ficheros con determinadas extensiones que estén almacenados en el ordenador.Las tres citadas variantes de Atak son muy similares, y sólo se diferencian en aspectos como el tamaño del fichero adjunto que tienen los mensajes de correo infectados. Por otra parte, debido a un fallo de programación, Atak.J es incapaz de enviarse. El quinto gusano al que nos referimos hoy es Janx.A, que se propaga a través de Internet aprovechándose para ello de la vulnerabilidad LSASS. En concreto, se difunde de manera automática en los equipos que tengan instalado Windows XP/2000, y no hayan sido convenientemente actualizados. En los restantes sistemas operativos de Windows también funciona, si el archivo que lo contiene es ejecutado.Janx.A se conecta a un servidor de IRC, y espera órdenes de control que llevar a cabo en el ordenador al que ha afectado. Además, instala un servidor FTP en el puerto 5533.El troyano que analizamos en el presente informe es HideProc.B, que no se propaga automáticamente por sus propios medios, ya que para conseguirlo precisa la intervención de un atacante. HideProc.B consiste en una DLL (Librería de Enlace Dinámico), que es utilizada por otro ejemplar de malware para ocultar la ejecución de hasta dos procesos distintos. Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección: http://www.pandasoftware.es/virus_info/enciclopedia/