Informe semanal de Panda sobre actividad de virus

27 Feb 2005 en Seguridad

Cuatro gusanos -las variantes A y B de Stang, Assiral.A y Sober.M-, centran la atención del informe sobre virus e intrusos de esta semana.

Stang.A y Stang.B se propagan a través de MSN Messenger, en mensajes con textos como “Look At This Hot Naked Girl”, que adjuntan archivos con nombres como “Hey look at my moms dildo!!.pif”. Si se ejecuta el archivo recibido, los gusanos se enviarán a todos los contactos que figuren en la citada aplicación de mensajería instantánea y, al mismo tiempo, intentarán terminar programas de seguridad que puedan estar instalados en el equipo, como el firewall personal de Windows.

Stang.A y Stang.B bloquean el Administrador de Tareas y el Editor del Registro de citado sistema operativo. Además, en los equipos a los que afectan, intentan finalizar los procesos SVCHOST.EXE y LSASS.EXE, lo que puede provocar que el equipo se apague automáticamente.

El tercer gusano al que nos referimos hoy es Assiral.A, que se difunde a través del correo electrónico en un mensaje escrito en inglés que muestra -en el campo del asunto- el texto “Re: LOV YA !”, y un fichero adjunto denominado “LOVE_LETTER.TXT.EXE”. Cuando el citado archivo es ejecutado, el equipo queda afectado por Assiral.A, que procede a buscar en él direcciones de e-mail, a las que posteriormente se envía.

En los ordenadores a los que afecta, Assiral.A lleva a cabo varias acciones, entre las que destacan las siguientes:

– Impide el acceso al Editor del Registro de Windows.

– Esconde la opción “Ejecutar” del menú Inicio.

– Desactiva la línea de comandos.

– Modifica la página de inicio del navegador Internet Explorer.

– Intenta finalizar los procesos pertenecientes a diversos programas antivirus y cortafuegos.

– Cuando es ejecutado muestra en pantalla un mensaje, en el que informa que su misión es librar Internet de la acción de los gusanos Bropia.

Finalizamos el presente informe con Sober.M, gusano que se propaga a través del correo electrónico, en un mensaje que puede estar escrito en inglés o alemán. Si la extensión del dominio de correo es “de”, “ch”, “at” o “li”, tanto el asunto como el mensaje estarán escritos en alemán.

Tras afectar a un equipo, Sober.M abre el programa Bloc de Notas y muestra un texto y, a continuación, ofrece un mensaje de error.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección: http://www.pandasoftware.es/virus_info/enciclopedia/

Información adicional- LSASS.EXE: proceso que se refiere a la seguridad local y a políticas de validación de usuario. Si se  cierra, se muestra en pantalla un mensaje de cuenta atrás, al final del cual el ordenador es reiniciado. – SVCHOST.EXE: proceso que maneja los ejecutados desde DLLs (Librería de Enlace Dinámico).Más definiciones técnicas en: http://www.pandasoftware.es/virus_info/glosario/default.aspx