El informe de esta semana centra su atención en dos troyanos -Spamnet.A y Galapoper.C-, en varias vulnerabilidades (en Internet Explorer y en sistemas operativos de la familia Windows), en dos gusanos -Gaobot.JKO y Gaobot.JKK-, y en 5 variantes -de la A a la E- del gusano Damon.

Spamnet.A es un troyano que se ejecuta al entrar en una página web determinada. Una vez instalado en el equipo inicia la descarga y ejecución de más ejemplares de malware, a partir de los cuales obtiene -de la máquina afectada- direcciones de correo que se envían por FTP. Además, el equipo afectado por Spamnet.A es utilizado para enviar spam.

Uno de los ejemplares de malware que descarga Spamnet.A es Galapoper.C. Se trata de un troyano que se conecta a varias páginas web -que albergan un script PHP-, para descargar un archivo que contiene órdenes de control remoto (como descargar y ejecutar otros archivos o actualizarse a sí mismo). Además, Galapoper.C envía mensajes de spam de características muy variables, compuestos por la información obtenida de varios servidores.

De los problemas de seguridad a los que nos referimos hay tres que permiten ejecutar código en los sistemas afectados y han sido calificados como "críticos". Además, de cada uno de ellos merece destacarse la información que aparece a continuación.

- Vulnerabilidades críticas en las versiones 5.01, 5.5 y 6 de Internet Explorer -en ordenadores con sistema operativo Windows 2003/XP/2000/Me/98-, que podrían permitir a un atacante obtener el control absoluto del sistema afectado.

- Vulnerabilidad de ejecución remota de código en Plug and Play (PnP), que podría permitir a un atacante controlar totalmente el sistema afectado. Afecta a Windows 2000 SP4, Windows XP SP1 y SP2, Windows XP Professional x64 Edition, Windows Server 2003 y Windows Server 2003 SP1.

- Problema de seguridad en Telephony Application Programming Interface (TAPI), que posibilita la ejecución remota de código. Afecta a Windows 2000 SP4, Windows XP SP1 y SP2, Windows XP Professional x64 Edition, Windows Server 2003 (SP1 y x64 Edition), Windows 98, Windows 98 Second Edition y Windows ME.

- Vulnerabilidad en Remote Desktop Protocol (RDP), que podría -en ordenadores con Windows 2003/XP/2000- permitir la realización de ataques de Denegación de Servicio.

- Vulnerabilidades en el protocolo Kerberos -en ordenadores con sistema operativo Windows 2003/XP/2000-, que permite realizar ataques DoS (Denegación de Servicio), divulgación de información y falsificación.

- Vulnerabilidad en el servicio de impresión -en ordenadores con Windows 2003/XP/2000- que podría permitir la ejecución remota de código.

Microsoft ha informado de las mencionadas vulnerabilidades en seis boletines -del MS05-038 al MS05-043-, en los que anuncia la disponibilidad de actualizaciones que las resuelven y cuya instalación se recomienda a los usuarios de los equipos afectados.

Los gusanos que analizamos en el presente informe son Gaobot.JKK y Gaobot.JKO, que comparten las siguientes características:

- Utilizan dos medios para propagarse: haciendo copias suyas en los recursos compartidos de red a los que pueden acceder y a través de Internet, aprovechándose para ello de varias vulnerabilidades (LSASS, RPC DCOM, Workstation Service, WebDAV, etc.).

- Se conectan a servidores IRC para recibir órdenes de control remoto, que llevar a cabo en el ordenador afectado.

- Finalizan procesos pertenecientes a diversas herramientas de seguridad como, por ejemplo, programas antivirus y cortafuegos.

- Para difundirse a otros sistemas instalan -en los equipos a los que afectan- sus propios servidores FTP y TFTP.

Finalizamos el informe de hoy mencionando las variantes A, B, C, D y E del gusano Damon. Lo más significativo de estos ejemplares es que se trata de pruebas de concepto que infectan archivos de la consola Microsoft Shell (MSH) -también conocida como Monad.