Sasser.F se difunde a través de Internet, aprovechándose para ello de la
vulnerabilidad LSASS. En el equipo al que afecta provoca un desbordamiento
de buffer en el programa LSASS.EXE, el reinicio del ordenador y la aparición
en pantalla de un mensaje. Como las otras variantes de Sasser aparecidas con
anterioridad, la F se propaga de manera automática en ordenadores con
Windows XP/2000. También funciona en el resto de sistemas operativos
Windows, si el archivo que lo contiene es ejecutado por un usuario
malicioso.
Como el código malicioso citado anteriormente, Cycle.A también se propaga a
través de Internet, explotando la vulnerabilidad LSASS y provocando el
reinicio del ordenador afectado. A su vez, finaliza los procesos
correspondientes a los gusanos Blaster, Sasser.A, Sasser.B, Sasser.C y
Sasser.D, y realiza ataques de Denegación de Servicio (DoS) contra varios
sitios web, cuando la fecha del sistema no se encuentra entre el 1 y el 18
de mayo, ambos inclusive.
El tercer gusano al que nos referimos hoy es Bagle.AC, que finaliza procesos
correspondientes a diversas aplicaciones de seguridad, como programas
antivirus y firewalls, así como diferentes gusanos. Además, intenta
conectarse -a través del puerto 14441- a varias páginas web, que albergan un
script PHP, con el objetivo de notificar a su autor que el ordenador ha sido
afectado.
Sober.G, por su parte, es un gusano que se propaga a través del correo
electrónico en un mensaje escrito en inglés o alemán, dependiendo de la
extensión del dominio de la dirección de correo del usuario. En el equipo al
que afecta busca, en ficheros que tienen determinadas extensiones,
direcciones de correo electrónico, a las que se envía empleando su propio
motor SMTP.
El quinto gusano del presente informe es Wallon.A, que se descarga en el
ordenador aprovechándose para ello de la vulnerabilidad Exploit/MIE.CHM. El
proceso que realiza para difundirse es el siguiente: el usuario recibe un
e-mail que contiene un enlace a una determinada página web. Si el usuario
visita la referida página, Wallon.A se descarga en el equipo.
Wallon.A recoge todos los contactos que encuentra en la Libreta de
direcciones de Windows y los envía a una dirección de correo electrónico.
Asimismo, este gusano cambia la página de inicio del navegador Internet
Explorer y, si la Libreta de direcciones de Windows se encuentra vacía,
muestra en pantalla un mensaje de error.
Finalizamos el informe de hoy con Qhost.gen, que es una detección genérica
de ficheros HOSTS modificados por varios ejemplares de malware, entre los
que se encuentran diferentes variantes del Gaobot. El citado fichero
contiene una serie de líneas que son las primeras que Windows utiliza para
la resolución de nombres a direcciones IP (antes que otros servicios tales
como WINS o DNS).
Los ficheros HOSTS son modificados por el citado malware de tal forma que
asocian una lista de direcciones web a la dirección IP 127.0.0.1,
consiguiendo así que las direcciones incluidas en dicha lista sean
inaccesibles. Las referidas páginas web suelen pertenecer a compañías que
comercializan software de seguridad como, por ejemplo, soluciones
antimalware. Por tal motivo, el usuario cuyo equipo haya resultado afectado
por Qhost.gen no podría acceder a estas páginas y consultar información,
actualizar su solución, etc.
Más información sobre éstas u otras amenazas informáticas en la Enciclopedia
de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/