- Informe semanal sobre virus e intrusos -
Virus Alerts, por Panda Software (http://www.pandasoftware.es)
Madrid, 10 de diciembre de 2004 - El informe de hoy centra su atención
en
cuatro gusanos: Maslam.A, Maslam.B, Atak.D y Atak.E.
Maslam.A y Maslam.B afectan a ordenadores con sistemas operativos
Windows
95/98/ME/NT/2000/XP, aprovechándose para ello de la vulnerabilidad
LSASS. En
concreto, se envían por correo electrónico, usando su propio motor
SMTP.
Ambos gusanos comparten varias características, de las que destacan las
que
se mencionan a continuación.
- Controlan las ventanas de Internet Explorer buscando las que
contienen las
cadenas: evocash, e-bullion, e-gold, mail, bank, trade o paypal. Cuando
encuentran alguna, guardan la información tecleada por el usuario y la
envían a un sitio web.
- Buscan ficheros cuya extensión sea rar, zip, pif o exe, y que
contengan en
su ruta las cadenas distr, download, setup o share, y los sustituyen
por
copias suyas.
- Tras ejecutarse muestran en pantalla un mensaje de error.
La variante A y la B de Maslam se diferencian, básicamente, en el
nombre del
fichero que incluye el mensaje en el que se mandan, y en el texto que
aparece en el campo del asunto del e-mail.
Los otros dos gusanos a los que nos referimos en el presente informe
son las
variantes D y E de Atak, que se propagan a través del correo
electrónico en
mensajes de características variables y escritos en inglés. Los e-mails
en
los que se mandan incluyen un fichero cuya extensión es bat, com, exe,
pif o
scr. En ocasiones, el archivo puede venir incluido en un fichero
comprimido
en formato zip. Además, los dos falsifican la dirección del remitente
del
mensaje, con el objetivo de ganarse la confianza de quien lo recibe.
A las mencionadas características de Atak.D y Atak.E se suman las
siguientes:
- Se envían, utilizando su motor SMTP, a todas las direcciones que
obtienen
en los equipos a los que afectan.
- Crean, en el directorio de sistema de Windows, un fichero -en el caso
de
Atak.D se denomina A1G.EXE, mientras que el de Atak.E se llama
DAPDLL.EXE-,
que es una copia de los citados gusanos.
- Para ejecutarse cada vez que se inicia Windows, modifican una entrada
del
registro.
Los principales elementos que diferencian a las variantes D y E de Atak
son:
- Atak.D tiene un tamaño de 12.037 bytes cuando está comprimido
mediante
FSG, mientras que el de la variante E es de 11.189 bytes.
- El mutex que crean para asegurarse de que no haya más de una copia
suya
ejecutándose al mismo tiempo.
Más información sobre éstas u otras amenazas informáticas en la
Enciclopedia
de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/