- Informe semanal sobre virus e intrusos -
El informe de hoy centra su atención en
Constructor/EMFTrojan.C, Netsky.AH, Netsky.AI, Bagz.E, Mydoom.AD y Scranor.A. Constructor/EMFTrojan.C es un programa que crea imágenes mal construidas, que intentan aprovechar la vulnerabilidad de ejecución remota de código en la interpretación de formatos de imagen Enhanced Metafile (EMF), descrita en el boletín MS04-032 de Microsoft. Para configurar el código que se genera, Constructor/EMFTrojan ofrece varias opciones, permitiendo elegir si, cuando se abre la imagen, se lleva a cabo una de las siguientes acciones: - Apertura de un puerto, a través del cual pueden enviarse comandos al equipo afectado. - Descarga, desde una URL especificada, de un archivo y posterior ejecución del mismo. Para proteger los equipos de la citada amenaza, y de otras similares, Panda Software ha desarrollado Exploit/MS04-032.gen, que es una detección genérica para las imágenes EMF construidas para aprovechar la citada vulnerabilidad. Los primeros gusanos que mencionamos hoy son las variantes AH y AI de Nestky, que se envían por correo electrónico, utilizando su propio motor SMTP, a las direcciones que obtienen en los ficheros que ocupen menos de 10.000.000 bytes y cuya extensión sea una de las siguientes: DBX, WAB, MBX, EML, MDB, TBB y DAT. Se mandan 10 minutos después de haber sido ejecutados y su difusión está condicionada a la fecha, ya que sólo se envían del 20 al 25 de octubre de 2.004. Además, para evitar varias ejecuciones simultáneas, Nestky.AH y Netsky.AI crean el mutex "0x452A561C". El siguiente gusano del presente informe es Bagz.E, que se propaga a través del correo electrónico, en un mensaje de correo electrónico escrito en inglés y de características variables. Finaliza procesos pertenecientes a programas de seguridad -como antivirus-, lo que deja al ordenador al que ha afectado indefenso frente al ataque de otros ejemplares de malware. En el directorio de Windows del equipo al que afecta, Bagz.E crea varios archivos. Asimismo, este gusano modifica el archivo HOSTS, impidiendo así el acceso a páginas web pertenecientes a varias compañías antivirus y de seguridad informática. Mydoom.AD, por su parte, se difunde a través del correo electrónico en un mensaje de características variables y escrito en inglés. En la práctica, falsifica la dirección del remitente del mensaje en el que se manda, combinando una lista de nombres y dominios. Empleando su propio motor SMTP, Mydoom.AD envía una copia de sí mismo a todas las direcciones que ha recogido en archivos con las siguientes extensiones (que no contengan determinadas cadenas de texto): ADB, ASP, CFG, CGI, DBX, EML, HTM, HTML, JSP, MBX, MDX, MSG, PHP, PL, SHT, TBB, TXT, UIN, VBS, WAB, WSH, XLS y XML. Para asegurarse de que de forma simultánea no se ejecutará más de una copia suya, Mydoom.AD crea un mutex llamado My-Game. Como el anterior gusano mencionado en este informe, Mydoom.AD también modifica el archivo HOSTS, impidiendo al equipo al que afecta acceder a las páginas web de determinadas compañías antivirus. La variante AD de Mydoom intenta descargar, desde una página web, un archivo correspondiente a otro gusano denominado Scranor.A. En concreto, guarda el archivo que lo contiene en el directorio raíz, lo renombra y lo ejecuta. Finalizamos con Scranor.A, gusano que se reproduce creando copias de sí mismo, sin infectar otros ficheros. Su objetivo fundamental es colapsar los ordenadores y las redes, impidiendo así que puedan utilizarse. |
La franja horaria es GMT +2. Ahora son las 01:53. |
Powered por vBulletin™ Version 3.8.10
Copyright © 2024 vBulletin Solutions, Inc. All rights reserved.
Traducido por vBsoporte - vBulletin en español
ZackYFileS - Foros de Debate