Marzo será un mes movido en términos de virus

2 Mar 2004 en Seguridad


El más reciente gusano (worm) Bagle se hizo presente el lunes por la mañana sin demasiado aviso, aunque no preocupó demasiado a los especialistas. Estos tienen la mente puesta en la reaparición del gusano Netsky.
El viernes por la tarde aparecieron cinco worms Bagle: Bagle.A, B, C, D y F que se difundieron a través de las casillas de entrada de e-mails mediante un archivo zip con una protección por password que los hacía inaccesibles para algunas aplicaciones de protección anti-virus. “Es un medio para infectar computadoras que tienen defensas,” señaló Ken Dunhan, director de la firma iDefense. “En las grandes redes se bloquean automáticamente los archivos infectados, pero los archivos .zip no, lo que permite a esta clase de virus pasar por los scanners y llegar a los desktops.”
El domingo, surgió otra variante de Netsky, la “D.” Al igual que las anteriores, borra ciertas claves del registro e inserta código malicioso. Netsky .D ejecuta el archivo winlogon.exe, el cual ejecutaba un archivo .wav desde las 6 a.m a 8.59 a.m. ayer, martes.
Dunham asegura que Netsky.D se abre paso más velozmente que los anteriores. Pero al igual que ellos también utiliza trucos para que la gente abra un attachement que dice “your pictures,” “document,” o “your bill.”
El año pasado, Netsky.C ocupó el puesto número ocho entre los virus más dañinos de la historia de Internet, alcanzado a 190 países. Netsky tiene la inteligencia de ejecutar archivos con nombres similares a los de Windows, de modo que si vemos la lista de aplicaciones, podemos pensar que se trata de una aplicación legítima.
La familia Bagle utiliza archivos .zip que no son detectados por Norton o McAfee. El script se copia y reenvía a todos los que están en la lista de mail del usuario, se copia en carpetas compartidas (usando P2P e IM) y abre el puerto 2745 para admitir comandos remotos.