Informe semanal sobre virus y amenazas

25 Jun 2007 en Seguridad

Esta semana, el informe de PandaLabs da información sobre Harrenix.A, un peligroso troyano que se camufla como un vídeo de la última película de Harry Potter para infectar a los usuarios. Además, se ofrecen datos sobre dos gusanos, Moaphie.A y Trixcu.A, y sobre el troyano Suarabh.A.

Harrenix.A es un troyano que llega al ordenador con la apariencia de ser un trailer de la próxima película sobre Harry Potter. Sin embargo, cuando el usuario lo ejecute, no verá vídeo alguno, sino que será infectado por el troyano. Éste, para que el usuario no sospeche, le mostrará un mensaje de error en el que le dirá que, por carecer de un determinado codec no puede ver el vídeo, a la vez que le aconseja visitar la página oficial de la película.

“Hace poco vimos un caso similar con la película Piratas del Caribe. Los ciber-delincuentes se aprovechan del interés de los usuarios por estas películas para incitarles a abrir archivos que, en realidad, contienen malware”, explica Luis Corrons, Director Técnico de PandaLabs.

Una vez ha infectado un ordenador, este troyano descarga en el sistema un dialer, detectado por PandaLabs como Dialer.KJD. Éste está diseñado para conectar a los usuarios a Internet a través de una línea de tarificación más cara que la que tiene contratada.

Moaphie.A es un gusano que, cuando infecta un ordenador, modifica la página de inicio de Internet Explorer establecida por el usuario por otra con contenido malicioso.

Este gusano es capaz de capturar algunos datos del ordenador infectado. A continuación, los envía por correo electrónico a su creador utilizando una plantilla en la que introduce el nombre del ordenador y la clave del usuario que haya iniciado sesión en el momento de la infección.

Para propagarse, Moaphie.A se copia en el directorio raíz de otras unidades y en las llaves de memoria USB. Además, crea un fichero autorun.inf en esas unidades con el fin de ejecutarse cuando se acceda a alguna de ellas.

También se propaga por mensajería instantánea. Para ello, buscará, cada diez milisegundos, una ventana abierta con el texto “conversation”, que corresponde a la versión inglesa del sistema de mensajería instantánea MSN Messenger. En caso de encontrar alguna abierta, envía a los contactos del usuario que estén conectados en ese momento un link que dirige a una web que contiene una copia del gusano.

“Los servicios de mensajería instantánea como MSN Messenger, Yahoo!Messenger, AIM, etc. se usan cada vez más tanto en los hogares como en los centros de trabajo. Al estar tan extendidos, se han convertido en una magnífica forma de propagarse para el malware, que puede llegar así a un mayor número de ordenadores”, afirma Luis Corrons.

Este gusano se conecta a una página web, desde la que descarga una copia de sí mismo. Para evitar ser eliminado, y mientras está en ejecución, busca todas las ventanas abiertas que contengan cadenas de texto relacionadas con varias soluciones de seguridad. Si encuentra alguna abierta, la cerrará.

Al iniciar la sesión, este gusano mostrará al usuario un mensaje de error con el texto: Fatal Error: kernel32.dll can’t be loaded.

Moaphie.A realiza otras acciones maliciosas como inutilizar la consola de comandos, en la que muestra el siguiente mensaje instantáneo: THE WORLD-WIDE DONT ACCEPT COMMAND PROMPT!!!! (El mundo no acepta órdenes desde la línea de comandos).

El segundo gusano de este informe es Trixcu.A. Cuando es ejecutado, muestra un mensaje de error. Entre las acciones maliciosas que realiza en los ordenadores infectados, se encuentra la de realizar varias copias de sí mismo en el sistema o la de modificar el registro de Windows. Una de esas modificaciones le permite ejecutarse automáticamente cada vez que se reinicia el sistema.

También intenta modificar tanto el nombre con el que está registrado el sistema operativo como la organización. Para propagarse, este gusano se copia en todas las unidades mapeadas del sistema.

El troyano Suarabh.A está diseñado para capturar las pulsaciones del teclado, con lo que podría robar todo tipo de información confidencial introducida por el usuario en su ordenador. Además, este troyano crea un informe sobre las aplicaciones que están siendo ejecutadas en el sistema.

Suarabh.A cambia los atributos de todas las carpetas del sistema, configurándolas como ocultas o de sólo lectura. Además, modifica varias entradas del registro. Una de ellas deshabilita el menú que permite cambiar las opciones de las carpetas, mientras que otro impedirá al usuario utilizar el Editor del registro de Windows, por lo que no podrá realizar modificaciones en él. De esta manera, el troyano intenta proteger los cambios que ha realizado.

Más información sobre estas u otras amenazas informáticas en la Enciclopedia de Panda Software (http://www.pandasoftware.es/virus_info/enciclopedia/)

Los usuarios que deseen comprobar si algún código malicioso ha atacado su ordenador pueden utilizar, de manera completamente gratuita, las soluciones online TotalScan o NanoScan beta, que se encuentran disponibles en la dirección www.infectedornot.com