Informe semanal sobre actividad de virus de Panda

6 Mar 2005 en Seguridad

Dos gusanos -Bagle.BN y Mytob.A- y dos troyanos -Mitglieder.BO, y Tofger.AT- protagonizan el presente informe.

Para propagarse al mayor número de equipos posible, Bagle.BN y Mitglieder.BO colaboran estrechamente. Así, Mitglieder.BO llega a los equipos en un mensaje de correo electrónico, en forma de un fichero adjunto que puede tener nombres como price.zip o price2.zip, entre otros. Si el usuario ejecuta el archivo, el troyano se activará y tratará de conectarse a una dirección de Internet, desde la que descargar al gusano Bagle.BN en el sistema. Una vez que Bagle.BN se instala en el ordenador, se encarga de enviar a Mitglieder.BO a las direcciones que se encuentran en un fichero llamado EML.EXE, que también es descargado desde Internet. Para ello, el gusano utiliza su propio motor SMTP.

Mitglieder.BO finaliza los procesos pertenecientes a diversos programas antivirus y de seguridad, y sobrescribe el fichero de “hosts” de Windows, para impedir que los usuarios puedan conectarse a determinadas páginas web.

Bagle.BN, por su parte, abre el puerto TCP 80 y permanece a la escucha, a la espera de que se realice una conexión remota. A través de ella, permite el acceso remoto al ordenador afectado, para realizar en él acciones que comprometen la confidencialidad de los datos del usuario, o dificultan su trabajo.

El segundo gusano que mencionamos es Mytob.A, que se propaga a través del correo electrónico, en un mensaje de características variables y escrito en inglés, así como a través de Internet. En este caso, atacará direcciones IP aleatorias, en las que tratará de explotar la vulnerabilidad LSASS.

Mytob se conecta a un servidor IRC y espera órdenes de control remoto, que llevar a cabo en el ordenador afectado. Además, elimina algunas de las variantes de otros gusanos como, por ejemplo, Netsky, Sobig, Bagle y Blaster.

El siguiente código malicioso que analizamos es el troyano Tofger.AT, que es descargado en el PC al acceder a determinadas páginas web, que utilizan diversos exploits -como LoadImage, ByteVerify y MhtRedir.gen-, para descargar malware en los equipos. Este troyano se instala como Browser Helper Object (BHO), de forma que es ejecutado cada vez que se abre el navegador Internet Explorer.
 
Tofger.AT hace un seguimiento de las acciones que llevan a cabo los usuarios y de las contraseñas utilizadas en las páginas con conexiones seguras https, que suelen ser las que se emplean para validarse en sistemas seguros como entidades bancarias. Además, siempre que detecte determinados nombres en la url también intentará capturar las passwords de los siguientes bancos: cajamadrid, bpinet, millenniumbcp, hsbc, barclays, lloydstsb, halifax, autorize, bankofamerica; bancodevalencia, cajamar, portal.ccm, bancaja, caixagalicia, caixapenedes, ebankinter, caixasabadell, bes, banif, millenniumbcp, totta, bancomais, montepiogeral, bpinet, patagon, lacaixa, citibank, bbvanet, banesto, e-trade y unicaja. Tras recoger la información, Tofger.AT la envía a un servidor.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección: http://www.pandasoftware.es/virus_info/enciclopedia/