Panda informa sobre actividad de virus y sobre nuevo y peligroso híbrido

30 May 2005 en Seguridad

La nueva edición del informe semanal sobre virus e intrusos consta en esta ocasión del gusano Mytob.DN, y los troyanos Gorgs.A y PGPCoder.A.
Mytob.DN es una variante de la conocida familia de gusanos Mytob, que han generado repetidas veces oleadas de ataques en ordenadores de todo el mundo. Concretamente, Mytob.DN es un gusano con características backdoor, que se conecta a un servidor remoto y espera las órdenes que un usuario malintencionado envíe para llevar a cabo sobre el ordenador afectado. Además, este gusano descarga otro malware sobre el ordenador afectado, que es detectado por Panda Software  como Faribot.A. Además, el gusano modifica el fichero HOSTS del ordenador afectado, de modo que evita que éste pueda acceder a páginas web de compañías antivirus.

Para propagarse, este gusano utiliza tanto la vulnerabilidad LSASS, que intenta explotar mediante ataques a direcciones IP generadas aleatoriamente, como a través de la aplicación de mensajería instantánea MSN Messenger, utilizando para ello el mencionado malware Faribot.A. Además, también es capaz de propagarse por medio de correo electrónico, en un mensaje de características variables escrito en inglés, y que envía a direcciones que consigue del ordenador afectado.

Gorgs.A es un troyano, con características de keylogger: registra las pulsaciones de teclado del usuario afectado. Una vez instalado en el ordenador, este troyano utiliza una función para ocultar sus procesos asociados en el Administrador de Tareas, en sistemas Windows 9x, o bien se añade al proceso Explorer.EXE, en sistemas Windows 2000/XP, de modo que en ningún caso el usuario pueda advertir de su presencia. Si no pudiera llevar a cabo ninguna de estas dos acciones, el troyano se ejecutará en cualquier caso, aunque siendo visible para el usuario. Una vez ejecutado, el troyano lleva a cabo su función de captura de pulsaciones, hasta que el archivo donde almacena la información alcanza un determinado tamaño, momento en el cual, envía la información por correo electrónico, a una dirección de dominio ruso. Como es común en los troyanos, no posee capacidad de propagación por sí mismo, por lo que debe ser distribuido manualmente.

PGPCoder.A ha inaugurado lo que se ha dado en llamar “ransom-ware”, es decir, software malicioso cuyo fin es el de recaudar dinero por medio de la extorsión, para evitar o revertir la acción del malware. En este caso particular, este troyano codifica digitalmente los archivos de unas determinadas extensiones, entre las que se encuentran archivos DOC (documentos de Word), JPG (imágenes), XLS (hojas de Excel), HTML (páginas web), o los formatos de archivos comprimidos más conocidos, ZIP y RAR. Una vez llevada a cabo su acción, PGPCoder.A crea un fichero de texto en cada directorio donde haya codificado un archivo, donde se indica la acción que se ha llevado a cabo, y se solicitan 200 dólares en concepto de rescate por los archivos, ofreciendo una dirección de correo de contacto. El troyano crea claves en el registro del sistema, tanto para asegurar que se ejecuta cada vez que el sistema se inicia, como para llevar una cuenta del progreso de las acciones del malware, en forma de número de ficheros analizados.

Para evitar la entrada de este malware o de cualquier otro código malicioso, Panda Software recomienda mantener actualizado el software antivirus. Los clientes de Panda Software ya tienen a su disposición las correspondientes actualizaciones para la detección y desinfección de estas especies de malware.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software

 

Además, PandaLabs informó de la aparición de una especie de malware híbrida, con capacidades tanto de gusano como de troyano, que puede ser utilizado para robar información confidencial de cualquier tipo, como puede ser la información introducida en cuentas bancarias, datos personales, u otro tipo de información de registro en páginas web.

El híbrido Eyeveg.D es un sofisticado malware que tiene dos vertientes: la de troyano, de cara a la ejecución de acciones contra el ordenador afectado, y la de gusano, que utiliza para su propagación. Este tipo de hibridaciones ente distintas especies de malware comienzan a ser habituales, ya que los creadores de malware buscan una mayor capacidad y versatilidad en sus acciones.

Eyeveg.D se instala en el sistema mediante un fichero DLL y un ejecutable EXE, con un nombre aleatorio (lo que dificulta, tanto su localización, como su desinfección), y modifica claves en el registro para asegurar su ejecución en cada inicio del sistema. Una vez en ejecución, trata de ocultarse de la lista de tareas del sistema, para pasar desapercibido al usuario, mediante la ejecución de un proceso que, sin embargo, sólo le permite llevar a cabo la ocultación en sistemas Windows 9x (95, 98 y Millenium).

Su acción como troyano comienza con la carga del fichero DLL como un ‘plugin’ (o componente adicional) del navegador, aprovechando una funcionalidad del mismo, lo que le permitirá la captura de una serie de eventos y acciones llevados a cabo por el ordenador, así como las propiedades de las sesiones del usuario en el equipo afectado. Esto le sirve para registrar en un fichero todos los intentos del usuario de enviar información a servidores remotos a través de servidores seguros, como son los sitios web de los bancos, en lo que supone un nuevo caso de phishing, y mediante el cual, es capaz de recoger datos como números de cuenta, contraseñas, o datos de la tarjeta de crédito. Esta funcionalidad ha sido probada y demostrada por PandaLabs, por lo que los ataques a cuentas de usuarios ya podrían haberse producido. De modo similar, registra las pulsaciones del teclado del usuario (keylogger), por lo que también viola la privacidad de los afectados, pudiendo registrar todo tipo de información confidencial, desde correos personales, a informaciones de cuentas en entidades con portales de Internet.

Además, posee un componente backdoor, es decir, es capaz de abrir una vía por la que recibir comandos provenientes de un usuario remoto, sin que se perciba su actuación, lo que le dota de una gran funcionalidad. Para ello, trata de conectar a una URL, deshabilitando el cortafuegos de Windows XP si fuera necesario. Una vez realizada la conexión, el ordenador afectado está preparado para recibir comandos, o incluso otros ficheros, que podrían corresponder a otra especie de malware.

Como gusano, este malware posee su propio motor de envío de correo, y reenviándose a sí mismo como un adjunto comprimido a todas las direcciones que pueda conseguir del ordenador afectado, buscando en una serie de ficheros que posee detallados en su código. Envía dichos correos haciéndose pasar por el propio usuario afectado, y con el nombre del archivo adjunto como asunto del mensaje.

Aquellas personas que hagan uso de las Tecnologías TruPreventTM de Panda Software de protección proactiva han estado protegidos en todo momento, ya que fueron capaces de neutralizar la amenaza sin conocerla. Estas tecnologías están disponibles en los productos de Panda Software desde la versión 2005, e incluso es posible combinarlas con productos antivirus de otras compañías, mediante TruPrevent Personal 2005.

Para evitar la entrada de Eyeveg.D o de cualquier otro código malicioso, Panda Software recomienda mantener actualizado el software antivirus. Los clientes de Panda Software ya tienen a su disposición las correspondientes actualizaciones para la detección y desinfección de este nuevo código malicioso.

Para ayudar al mayor número de usuarios a analizar y/o desinfectar puntualmente sus equipos, Panda Software ofrece gratuitamente la solución antimalware online Panda ActiveScan, que ahora también detecta spyware. Además, los webmasters pueden ofrecer este mismo servicio a los visitantes de sus páginas web mediante la inclusión de un código HTML que pueden obtener gratuitamente.