********************************************************************** Virus Alerts desea a todos sus suscriptores una Feliz Navidad. ********************************************************************** - Informe semanal sobre virus e intrusos - Virus Alerts, por Panda Software (http://www.pandasoftware.es)Madrid, 24 de diciembre de 2004 - En el presente informe vamos a ocuparnosde tres gusanos -Santy.A, que a principios de esta semana comenzó adistribuirse rápidamente, Mugly.C y Gaobot.CDO-, del virusConstructor/Mastof, y de un troyano llamado Mastof.A. Santy.A es un gusano que se propaga a través de Internet aprovechándose paraello de la vulnerabilidad viewtopic.php. En la práctica, afecta a losservidores que tienen instalada una versión del programa phpBB anterior a la2.0.11 y no hayan sido convenientemente actualizados.Tras afectar a un equipo, Santy.A lleva a cabo, entre otras, las siguientesacciones:- Utiliza una búsqueda en Google para localizar ordenadores vulnerables.- Sobrescribe todos los archivos con extensiones ASP, HTM, PHP, PHTM y SHTM,y los reemplaza por un código HTML que muestra un mensaje. - Ralentiza el servidor afectado y el acceso a Internet.El segundo gusano al que nos referimos hoy es Mugly.C, que se propaga através del correo electrónico en un mensaje con características variables,que incluye un archivo adjunto llamado ATTACHED.ZIP. A su vez, este ficherocontiene un archivo ejecutable que es el propio gusano, y que será enviadoen un e-mail.En el equipo al que afecta, Mugly.C busca -en archivos cuya extensión seaADB, ASP, DBX, DOC, HTM, HTML, PHP, SHT, TBB, TXT o WAB-, direcciones decorreo electrónico a las que se envía, excepto a aquellas con cadenas detexto relativas a compañías antivirus. Además, este gusano evita que elusuario pueda acceder a las páginas web de determinadas empresas antivirus.Tras ser ejecutado, Mugly.C muestra en pantalla una imagen, e instala yejecuta otro gusano, que Panda Software detecta como Gaobot.CDO.worm.Gaobot.CDO, por su parte, afecta a ordenadores con sistemas operativosWindows 2003/XP/2000/NT, aprovechándose para ello de las vulnerabilidadesLSASS, RPC DCOM y WebDAV. Para difundirse, este gusano realiza copias de símismo en recursos compartidos de red a los que logra acceder. A su vez,Gaobot.CDO se conecta a un servidor IRC determinado y espera órdenes decontrol.Los siguientes códigos del presente informe son Constructor/Mastof yMastof.A. Se trata de dos ejemplares íntimamente ligados, ya que el segundoes un troyano que ha sido creado por el primero para que robe la contraseñade Yahoo Messenger.Entre las características que tiene Mastof.A, y que también presentarán lostroyanos que se generen con Constructor/Mastof, destacan las siguientes: seejecutan cada vez que se reinicia el PC, quedan residentes en el PC en elque afectan y envían la contraseña que obtienen a una dirección específicade Yahoo.Más información sobre éstas u otras amenazas informáticas en la Enciclopediade Panda Software, disponible en la dirección:http://www.pandasoftware.es/virus_info/enciclopedia/