El informe de hoy centra su atención en
Constructor/EMFTrojan.C, Netsky.AH, Netsky.AI, Bagz.E, Mydoom.AD y
Scranor.A.

Constructor/EMFTrojan.C es un programa que crea imágenes mal construidas,
que intentan aprovechar la vulnerabilidad de ejecución remota de código en
la interpretación de formatos de imagen Enhanced Metafile (EMF), descrita en
el boletín MS04-032 de Microsoft.

Para configurar el código que se genera, Constructor/EMFTrojan ofrece varias
opciones, permitiendo elegir si, cuando se abre la imagen, se lleva a cabo
una de las siguientes acciones:

- Apertura de un puerto, a través del cual pueden enviarse comandos al
equipo afectado.

- Descarga, desde una URL especificada, de un archivo y posterior ejecución
del mismo.

Para proteger los equipos de la citada amenaza, y de otras similares, Panda
Software ha desarrollado Exploit/MS04-032.gen, que es una detección genérica
para las imágenes EMF construidas para aprovechar la citada vulnerabilidad.

Los primeros gusanos que mencionamos hoy son las variantes AH y AI de
Nestky, que se envían por correo electrónico, utilizando su propio motor
SMTP, a las direcciones que obtienen en los ficheros que ocupen menos de
10.000.000 bytes y cuya extensión sea una de las siguientes: DBX, WAB, MBX,
EML, MDB, TBB y DAT. Se mandan 10 minutos después de haber sido ejecutados y
su difusión está condicionada a la fecha, ya que sólo se envían del 20 al 25
de octubre de 2.004. Además, para evitar varias ejecuciones simultáneas,
Nestky.AH y Netsky.AI crean el mutex "0x452A561C".

El siguiente gusano del presente informe es Bagz.E, que se propaga a través
del correo electrónico, en un mensaje de correo electrónico escrito en
inglés y de características variables. Finaliza procesos pertenecientes a
programas de seguridad -como antivirus-, lo que deja al ordenador al que ha
afectado indefenso frente al ataque de otros ejemplares de malware.

En el directorio de Windows del equipo al que afecta, Bagz.E crea varios
archivos. Asimismo, este gusano modifica el archivo HOSTS, impidiendo así el
acceso a páginas web pertenecientes a varias compañías antivirus y de
seguridad informática.

Mydoom.AD, por su parte, se difunde a través del correo electrónico en un
mensaje de características variables y escrito en inglés. En la práctica,
falsifica la dirección del remitente del mensaje en el que se manda,
combinando una lista de nombres y dominios.

Empleando su propio motor SMTP, Mydoom.AD envía una copia de sí mismo a
todas las direcciones que ha recogido en archivos con las siguientes
extensiones (que no contengan determinadas cadenas de texto): ADB, ASP, CFG,
CGI, DBX, EML, HTM, HTML, JSP, MBX, MDX, MSG, PHP, PL, SHT, TBB, TXT, UIN,
VBS, WAB, WSH, XLS y XML.

Para asegurarse de que de forma simultánea no se ejecutará más de una copia
suya, Mydoom.AD crea un mutex llamado My-Game. Como el anterior gusano
mencionado en este informe, Mydoom.AD también modifica el archivo HOSTS,
impidiendo al equipo al que afecta acceder a las páginas web de
determinadas compañías antivirus.

La variante AD de Mydoom intenta descargar, desde una página web, un archivo
correspondiente a otro gusano denominado Scranor.A. En concreto, guarda el
archivo que lo contiene en el directorio raíz, lo renombra y lo ejecuta.

Finalizamos con Scranor.A, gusano que se reproduce creando copias de sí
mismo, sin infectar otros ficheros. Su objetivo fundamental es colapsar los
ordenadores y las redes, impidiendo así que puedan utilizarse.