Informe semanal sobre virus e intrusos

7 Oct 2004 en Seguridad

En el presente informe vamos a referirnos a dos gusanos -Noomy.A y Bagle.BB-, y a un troyano denominado HardFull.A.

Noomy.A se propaga a través del correo electrónico y de IRC. Cuando lo hace por e-mail se envía a direcciones que no contienen ciertas subcadenas y que obtiene en ficheros cuya extensión es: .dbx, .htm, .html o .php. Por otra parte, cuando se manda por IRC, Noomy.A implementa su propio servidor HTTP y envía varios mensajes a canales IRC que tiene codificados, junto con enlaces que invitan a conectarse al servidor HTTP del ordenador infectado. En la práctica, al acceder a los enlaces, se abre una página desde donde pueden descargase las copias del gusano. 

La propagación y el payload de Noomy.A dependen de la fecha en la que se ejecuta y del tipo de conexión a Internet utilizada. Entre las acciones que puede llevar a cabo este gusano destacan las siguientes:

– Finaliza procesos pertenecientes a herramientas de seguridad -como, por ejemplo, programas antivirus y cortafuegos-, dejando así al equipo vulnerable al ataque de otros ejemplares de malware.

– Ataque de denegación de servicio, mediante el comando ping, a varios sitios entre los que se encuentra el de Microsoft.

– Se conecta a un enlace para enviar datos del PC, como hora y fecha del sistema, si utiliza mswinsck.ocx, servidor SMTP y usuario de correo que utiliza Outlook.

Tras ser ejecutado Noomy.A muestra un mensaje en pantalla, por lo que su presencia en un equipo es fácilmente reconocible.

El segundo gusano del presente informe es Bagle.BB, que se difunde a través del correo electrónico -en un mensaje escrito en inglés y de características variables-, y de programas de intercambio de archivos punto a punto (P2P).

Bagle.BB abre el puerto TCP 81 y permanece a la escucha, a la espera de que se realice una conexión remota. A través de ella, permite acceder -de forma remota- al ordenador al que afecta, para realizar en él acciones que pueden comprometer la confidencialidad de los datos del usuario o dificultar su trabajo.

Bagle.BB termina procesos pertenecientes a herramientas de seguridad como, por ejemplo, programas antivirus, dejando así al equipo indefenso a los ataques de otro malware. Además, Bagle.BB elimina del Registro de Windows las entradas correspondientes a variantes del gusano Netsky, evitando así que se ejecuten cuando se inicia el equipo.

Finalizamos el presente informe con HardFull.A, troyano que no se propaga automáticamente por sus propios medios, ya que precisa de la intervención del atacante para ello. Los medios empleados para difundirlo son variados e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, etc.

HardFull.A crea un archivo que se llena a sí mismo con el texto Win32.Delf.du_Ful, incrementando así su tamaño hasta que ocupa todo el espacio disponible en el disco duro, provocando la ralentización e incluso el bloqueo del equipo. Igualmente, este troyano desactiva las herramientas de edición del Registro de Windows, y las opciones “Ejecutar” y “Buscar” del menú Inicio.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección: http://www.pandasoftware.es/virus_info/enciclopedia/