El informe sobre virus e intrusos de esta semana está centrado en dos gusanos (Mydoom.BH y Crowt.B) y un troyano, Downloader.BHV.

MyDoom.BH es un gusano de correo electrónico que, además, tiene capacidades de propagación a través del programa de intercambio de archivos Kazaa. Una vez que ha llegado a un equipo y se ejecuta, descarga desde un sitio web una página con código que es guardado en el directorio de sistema de Windows como un archivo ejecutable llamado TEMP1.EXE. Además, muestra una pantalla en la que hace referencia a un antivirus con la intención de despistar al usuario.

Para propagarse a través del correo electrónico, se reenvía a todos los contactos de la Libreta de direcciones de Outlook, utilizando su propio motor SMTP. El mensaje enviado tiene la dirección de correo del remitente falsificada, e incluye un archivo adjunto con el código malicioso.

Además de utilizar correo electrónico, MyDoom.BH crea una copia de sí mismo en el directorio compartido de KaZaA, que obtiene del Registro de Windows. Dicha copia tiene nombre de archivo y extensión aleatorios, seleccionados de una lista previa con nombres que puedan resultar atractivos a los usuarios de KaZaA.

Otros usuarios de este programa podrán acceder de manera remota a este directorio compartido. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por Mydoom.BH, pensando que se trata de aplicaciones informáticas interesantes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano. Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Mydoom.BH.

El segundo gusano de este informe, Crowt.B, tiene funciones de puerta trasera y se transmite por correo electrónico usando su propio motor SMTP. Las direcciones a las que se envía las obtiene de la lista de contactos almacenada en el ordenador del usuario.

Permite ejecutar comandos en el equipo afectado remotamente y obtener información del mismo. Tiene además un peligro adicional, ya que actúa como keylogger, grabando las pulsaciones de teclas del usuario y capturando así las contraseñas tecleadas. Crowt.B, para pasar desapercibido, inyecta su código en otros programas.

Por último, nos ocupamos del troyano Downloader.BHV. Este código malicioso descarga e instala programas adware en el ordenador afectado.

Downloader.BHV no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROM, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.

Cuando se ejecuta, descarga desde diversos sitios web 5 ficheros ejecutables enmascarados como ficheros GIF, que ejecuta en el sistema infectado. Para evitar su detección, utiliza técnicas muy rudimentarias (algunas cadenas de texto las compone durante la ejecución del código).

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección:

__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad