Saturday, July 10, 2004

- Informe semanal sobre virus e intrusos -
Virus Alerts, por Panda Software (http://www.pandasoftware.es)

Madrid, 9 de julio de 2004 - Un virus denominado Lovgate.AO y tres
gusanos
-Korgo.X, Evaman. A y Bagle.AD-, protagonizan el informe sobre virus e
intrusos de esta semana.

Lovgate.AO es un virus con características de gusano que se propaga a
través
del correo electrónico, de unidades y de recursos compartidos de red, y
aprovechándose de la vulnerabilidad Saturación de buffer en interfaz
RPC.
Afecta a ordenadores con Windows 2003/XP/2000/NT e infecta archivos con
extensión EXE, insertando su código al inicio y al final de los mismos.

En el equipo al que afecta, Lovgate.AO instala un backdoor que
permanece a
la escucha de un puerto, que escoge aleatoriamente. Su objetivo es
permitir
acceder, de forma remota, al ordenador y realizar en él acciones que
comprometen la confidencialidad de sus datos (ya que recoge información
que
posteriormente envía a quien ha creado su código), o dificultan el
trabajo
del usuario. Adicionalmente, si Lovgate.AO encuentra activos en memoria
determinados procesos -relacionados con programas antivirus y con otros
gusanos-, los termina.

El primer gusano al que nos referimos hoy es Korgo.X, que utiliza la
vulnerabilidad de Windows LSASS para propagarse a través de Internet e
introducirse automáticamente en los ordenadores. También afecta a todas
las
plataformas Windows, si bien sólo se introduce de forma automática en
aquellos equipos que funcionen bajo Windows XP y 2000 y no han sido
convenientemente actualizados.

La variante X de Korgo se coloca residente en memoria y se conecta a
una
serie de servidores IRC, de los que puede descargarse archivos para
posteriormente ejecutarlos en el PC al que afecta.

El siguiente gusano que analizamos hoy es Evaman.A. Se difunde, a
través del
correo electrónico y en un e-mail escrito en inglés (que simula ser un
mensaje devuelto a causa de un supuesto error), a todas las direcciones
que
encuentra en un determinado sitio web. En algunas ocasiones, cuando
Evaman.A
es ejecutado por primera vez se abre el programa Notepad.

Finalizamos el presente informe con Bagle.AD, gusano que se propaga a
través
del correo electrónico, en mensajes escritos en inglés y mediante
programas
de intercambio de ficheros punto a punto (P2P).

Bagle.AD abre el puerto TCP 1234 y permanece a la escucha, a la espera
de
que se realice una conexión remota. A través de ella, y hasta el 24 de
enero
de 2005, permite acceder de forma remota al ordenador al que afecta,
para
realizar en él acciones que comprometen la confidencialidad de los
datos del
usuario o dificultan su trabajo. Para notificar a su creador que el PC
es
accesible a través del puerto abierto, este código malicioso se conecta
a un
sitio web que alberga un script PHP.

Bagle.AD elimina del Registro de Windows las entradas correspondientes
a
algunas variantes del gusano Netsky, impidiendo así que se activen
cuando se
inicia Windows. Asimismo, cuando es ejecutado, muestra en pantalla un
falso
mensaje de error.

Más información sobre éstas u otras amenazas informáticas en la
Enciclopedia
de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/

Información adicional

- Cadena/Cadena de caracteres: secuencia de caracteres (de texto,
especiales, dígitos numéricos, signos de puntuación, o espacios en
blanco)
consecutivos.

- Script/Virus de Script: el término script hace referencia a todos
aquellos
ficheros o secciones de código escritas en algún lenguaje de
programación,
como Visual Basic Script (VBScript), JavaScript, etc.

Más definiciones técnicas en:
http://www.pandasoftware.es/virus_info/glosario/default.aspx