Informe semanal de Panda sobre virus e intrusos

31 Ene 2005 en Seguridad

Los gusanos Crowt.A, Mydoom.AG, Cisum.A, Bagle.BK y Bagle.BL han protagonizado la presente semana, en lo que a virus e intrusos informáticos se refiere.

Crowt.A es un gusano que se propaga a través del correo electrónico, en mensajes que contienen textos construidos a partir de los titulares de la página web de CNN. Este código malicioso está diseñado para instalar un backdoor o puerta trasera en los sistemas a los que afecta, de forma que puedan recibir órdenes de atacantes remotos. Además, Crowt.A instala una aplicación de tipo keylogger que puede ser utilizada para robar información personal o confidencial como, por ejemplo, las contraseñas que el usuario teclea para acceder a sistemas de banca online.

Adicionalmente, Crowt.A borra todas las cookies que se encuentren almacenadas en el ordenador y abre el navegador de Internet para mostrar un determinado sitio web.

Mydoom.AG, una nueva variante del gusano que hace casi un año causó una gran epidemia a nivel mundial, es un código malicioso que modifica el archivo HOSTS de modo que el usuario del PC afectado no puede acceder a las páginas web de determinadas compañías antivirus. Este gusano finaliza los procesos correspondientes a diversos programas antivirus, y se propaga a través del correo electrónico y de programas de intercambio de archivos punto a punto (P2P).

Por su parte, Cisum.A es un gusano que, como acción más llamativa, insulta al usuario mostrando en pantalla el texto “YOU ARE AN IDIOT”, al tiempo que reproduce un archivo de audio MP3 que repite la misma frase. Este código malicioso sólo puede propagarse automáticamente en redes informáticas. En caso de que un usuario de una red ejecute un archivo conteniendo a Cisum.A, éste se copia con el nombre ProjectX.exe en el directorio raíz de las unidades compartidas del equipo.

Cisum.A también finaliza procesos pertenecientes a aplicaciones antivirus y de seguridad informática, lo que deja a los equipos desprotegidos frente a otros posibles ataques por parte de virus o hackers. Además, crea varias entradas en el registro de Windows con el objetivo de asegurar su ejecución cada vez que se reinicie el ordenador.

Finalmente, las nuevas variantes BK y BL del conocido gusano Bagle llegan a los ordenadores en mensajes de correo electrónico con direcciones de remite falsas, y cuyos asuntos son escogidos aleatoriamente a partir de una lista de opciones. Algunos ejemplos son: “Delivery by mail” o “Delivery service mail”. En el cuerpo de texto pueden leerse frases como: “Before use read the help” o “Thanks for use of our software”. Por su parte, los archivos adjuntos a los mensajes  y que, en realidad, contienen el código de los gusanos, tienen nombre variable si bien su extensión siempre es COM, CPL, EXE o SCR. Para propagarse a través de aplicaciones P2P tipo KaZaA o Morpheus, los gusanos crean copias de sí mismos con nombres como ACDSee 9.exe, Adobe Photoshop 9 full.exe o Ahead Nero 7.exe, entre otros.

Si un fichero conteniendo a cualquiera de los dos gusanos es ejecutado, estos se envían, utilizando su propio motor SMTP, a las direcciones de correo electrónico que puedan encontrarse en archivos con determinadas extensiones que estén almacenados en el ordenador. Además, ambas variantes de Bagle terminan los procesos en memoria correspondientes a varias aplicaciones antivirus y de seguridad.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección: <http://www.pandasoftware.es/virus_info/enciclopedia/>

 

Información adicional

– Backdoor/puerta trasera: programa que se introduce en el ordenador y establece una puerta trasera a través de la cual es posible controlar el sistema afectado, sin conocimiento por parte del usuario.

– Keylogger (Capturador de teclado): programa que recoge y guarda una lista de todas las teclas pulsadas por un usuario. Dicho programa puede hacer pública la lista, permitiendo que terceras personas conozcan lo que ha escrito el usuario afectado, como contraseñas, texto de documentos, mensajes de correo, combinaciones de teclas, etc.

Más definiciones técnicas en:
<http://www.pandasoftware.es/virus_info/glosario/default.aspx>