Informe semanal de Panda Software sobre virus y amenazas

18 Abr 2007 en Seguridad

Cimuz.EL, un peligroso troyano, es uno de los ejemplares tratados en el informe de esta semana de PandaLabs. En él también se ofrecen datos sobre otro troyano, Gogo.A, y dos gusanos: UsbStorm.A y Nurech.Z. Además, esta semana Microsoft ha publicado cinco nuevos parches de seguridad.

El troyano Cimuz.EL llegó a suponer hasta el 57% de los avisos de malware en circulación recibidos por hora en el laboratorio de detección de malware de Panda Software.

Cimuz.EL está diseñado para robar todo tipo de datos de los ordenadores que infecta. Llega a las máquinas de manera fragmentada. En primer lugar, se instala una parte del código con capacidades de downloader. Este downloader, por su parte, se encargará de descargar el resto del código que será el que lleve a cabo las acciones más dañinas.

Entre esas acciones se encuentra la de robar distintos datos sobre el ordenador infectado: contraseñas de correo, IP, localización de la máquina, software instalado… Además, inyecta una DLL en Internet Explorer para registrar la navegación del usuario en busca de más datos que robar. De esta manera, se hace con toda la información que los usuarios introducen en los formularios web.

Todos los datos robados por Cimuz.EL son enviados a su creador de manera periódica a través de cierto servidor web.

El segundo troyano de esta semana es Gogo.A. Este nuevo código malicioso está diseñado para robar ciertos datos que se introducen a través del teclado mientras se navega por Internet. Para ello, se instala como un complemento de Internet Explorer y registra la navegación de los usuarios. Cuando el usuario teclea unas palabras clave, Gogo.A se activa y comienza a capturar las pulsaciones.

Una vez robada la información, Gogo.A la envía a su creador a través de una página web. Este troyano, además, cuenta con funcionalidades rootkit para ocultar sus procesos y dificultar su detección, lo que lo hace aún más peligroso.

“El robo de contraseñas, para el que están diseñados estos dos troyanos, encaja muy bien en la tendencia actual del malware. Gracias a esa información, los ciber-delincuentes podrán acceder a datos confidenciales o cuentas bancarias y, así, obtener beneficios económicos. El uso de troyanos con estos fines se está extendiendo porque es más silencioso que otras técnicas como el phishing, por ejemplo”, explica Luis Corrons, Director Técnico de PandaLabs.

UsbStorm.A es un gusano que se propaga copiándose en las unidades extraíbles, como las llaves de memoria USB. Cuando alguna de esas unidades es conectada a un nuevo ordenador, el gusano se activa y lo infecta. UsbStorm.A quedará residente en ese equipo a la espera de nuevas unidades a las que propagarse.

Mientras permanece en los ordenadores, este gusano intenta actualizarse. Para ello, descarga nuevas versiones de sí mismo desde distintas páginas web.

Nurech.Z es un gusano que se propaga por correo electrónico. El asunto de esos correos es variado, pero suele advertir sobre la propagación masiva de algún tipo de malware. Algunos ejemplos son: Worm alert!, spyware alert! o Virus Alert!. Además, para que el remitente parezca alguien de confianza se han empleado nombres como: Customer Support

El gusano se encuentra oculto dentro de un archivo .zip adjuntado al correo. Éste archivo simula ser un parche para protegerse del supuesto malware que ha causado la alerta. Para abrir ese .zip, es necesaria una contraseña. El propio creador del malware la proporciona, incluyéndola dentro de un archivo .gif. La razón es que, de esta manera, hace más complicada la tarea de detección que si la incluyese en un archivo de texto.

“Para que tal acción no resulte sospechosa, el creador del malware se excusa diciendo que es para proteger la información del supuesto gusano que ha causado la alerta. De esta manera, intenta que los usuarios más confiados no vean nada raro en tal acción y abran el archivo con esa contraseña”, explica Luis Corrons.

Nurech.Z está diseñado para finalizar los procesos de varias soluciones de seguridad. También termina con los procesos activos de las herramientas de monitorización y de algunas de programación, como debugging.

Este gusano busca direcciones de correo electrónico almacenadas en el ordenador infectado a las que poder enviarse en mensajes como los vistos más arriba. Utiliza dos rootkits. El primero de ellos, se encarga de ocultar sus procesos para dificultar su detección. El segundo, busca las direcciones de correo, crea el .gif con la contraseña y envia el spam.

Microsoft ha publicado los parches de seguridad correspondientes al mes de abril. Han sido un total de cinco, cuatro de los cuales han sido clasificados como “críticos”.

El primer parche crítico soluciona dos vulnerabilidades en Microsoft Content Management Server. La tercera vulnerabilidad resuelta se encuentra en Universal Plug and Play y afecta, únicamente, a Windows XP. La cuarta se encontró en Microsoft Agent y afecta a las últimas versiones de Windows, salvo Vista. La quinta, y última vulnerabilidad crítica, se descubrió en CSRSS (Windows Client/Server Runtime Server Subsystem o Sistema de Cliente-Servidor en tiempo de ejecución de Windows) y afecta a las últimas versiones de Windows, incluidas Vista y Vista x64.

Todas estas vulnerabilidades podrían permitir la ejecución de código y el control del ordenador por un atacante remoto.

El único parche que no es “Crítico”, sino “Importante”, corrige una vulnerabilidad en el kernel de Windows. Este fallo de seguridad puede ser utilizado por un atacante remoto para conseguir una elevación de privilegios en el ordenador afectado.

Todas estas actualizaciones se pueden consultar y descargar en: http://www.microsoft.com/spain/athome/security/update/bulletins/200704.mspx