- Informe semanal sobre virus e intrusos -
Siete gusanos -Bagle.BC, Zafi.C, las
variantes B y C de Famus, Swash.A, Buchon.A y Buchon.B- y un programa espía denominado Spyware/Spydeleter protagonizan el informe de la última semana de octubre. Bagle.BC se difunde por correo electrónico -en un mensaje escrito en inglés y de características variables-, y de programas de intercambio de archivos punto a punto (P2P), y también podría hacerlo a través de redes. Abre el puerto TCP 81 y permanece a la escucha, a la espera de que se realice una conexión remota. A través de ella, permite acceder -de forma remota- al ordenador al que afecta, para realizar en él acciones que pueden comprometer la confidencialidad de los datos del usuario o dificultar su trabajo. Además, Bagle.BC termina procesos pertenecientes a herramientas de seguridad como, por ejemplo, programas antivirus, dejando así al equipo indefenso a los ataques de otro malware. Zafi.C se propaga a través de programas de intercambio de archivos punto a punto (P2P), y del correo electrónico. Cuando lo hace por e-mail utiliza su propio motor SMTP y se envía a las direcciones en cuyo dominio no aparezcan determinadas cadenas, y que obtiene de los ficheros de la máquina afectada que tengan como extensión una de las siguientes: htm, wab, txt, dbx, tbb, asp, php, sht, adb, mbx, eml y pmr. El idioma del texto que aparece en el mensaje en el que se manda Zafi.C varía, dependiendo de la extensión del dominio al que pertenezca la dirección a la que se manda. Si la extensión de dominio es de los siguientes países: Alemania, República Checa, Dinamarca, España, Finlandia, Francia, Holanda, Hungría, Italia, Lituania, Noruega, Polonia, Rumanía y Suecia, el texto aparece en su idioma correspondiente, y si no en inglés. Zafi.C intenta lanzar ataques de Denegación de Servicio (DoS) contra tres sitios web, pertenecientes a Google, Microsoft y al Primer Ministro de Hungría. Además, finaliza los procesos que contengan las cadenas "firewall" y "virus", e impide el acceso a las aplicaciones que incluyan las cadenas "reged", "msconfig2" y "task2". Los siguientes gusanos a los que nos referimos son las variantes B y C de Famus. Ambas se distribuyen a través de correo electrónico en un fichero adjunto -a mensajes escritos en español y en inglés-, y recurren a técnicas de "ingeniería social" para difundirse al mayor número posible de equipos. En concreto, intentan que el usuario abra el citado archivo haciéndole creer que contiene interesantes imágenes del conflicto armado que actualmente tiene lugar en Irak. En la práctica, si se ejecuta dicho fichero, estos gusanos mostrarán una falsa ventana de error y se enviarán a todas las direcciones de e-mail que encuentren en ficheros cuya extensión sea: doc, eml, htm, y htt. Famus.B y Famus.C también recogen datos del ordenador afectado -como, por ejemplo, cuenta de correo, servidor, nombre de usuario, versión de Windows, etc.-, y los envían a quien ha creado su código. Swash.A, por su parte, es un gusano que se propaga a través del correo electrónico -en un mensaje escrito en inglés y de características variables-, y a través de programas de intercambio de archivos punto a punto (P2P). Finaliza los procesos correspondientes a programas de seguridad -como antivirus y cortafuegos-, e impide acceder a las páginas web de las principales compañías antivirus. Debido a las citadas acciones, Swash.A deja al ordenador afectado indefenso ante otros ejemplares de malware. Los últimos gusanos que analizamos en el presente informe son Buchon.A y Buchon.B, que se propagan a través del correo electrónico, en un mensaje escrito en inglés. Una característica peculiar de ambos es que esperan 10 minutos desde que se ejecutan hasta que comienzan a enviar mensajes infectados. Por contra, se diferencian en que la variante B ha sido compilada siete horas más tarde, y que la espera de diez minutos antes de enviarse por e-mail la realiza después de comprobar la fecha del sistema. Finalizamos el informe de hoy con Spyware/Spydeleter, programa espía -o spyware- que se descarga automáticamente cuando se visitan páginas web que contienen enlaces a scripts Java maliciosos, que intentan instalarlo. Una vez en el sistema, Spyware/Spydeleter descarga -mediante conexiones FTP- otros programas espía. Asimismo, crea y deja activos en memoria varios procesos para funcionar en todo momento. En el registro de Windows del equipo al que afecta, Spyware/Spydeleter crea varias entradas cuyo efecto más significativo es el cambio de la página de inicio del navegador Microsoft Internet Explorer, por otra que advierte que el equipo puede estar infectado por algún spyware. Dicha página también incluye un link donde, supuestamente, el usuario encontrará ayuda para limpiar su equipo. Si realmente se pulsa dicho link se accede a una página desde donde puede descargarse el programa Spy Deleter que eliminará esos spyware -a cambio de 29 dólares USA-, y que ha sido supuestamente desarrollado por la misma persona que realizó y distribuyó Spyware/Spydeleter. Los usuarios cuyos equipos hayan sido afectados por Spyware/Spydeleter también encontrarán que en el escritorio han aparecido dos links -llamados "Click to Remove Spyware" y "Remove Spyware Now"- que apuntan a la citada página de compra. |
La franja horaria es GMT +2. Ahora son las 18:14. |
Powered por vBulletin™ Version 3.8.10
Copyright © 2024 vBulletin Solutions, Inc. All rights reserved.
Traducido por vBsoporte - vBulletin en español
ZackYFileS - Foros de Debate