Informe semanal sobre virus e intrusos
05/11/04. Los gusanosBagz.H y Mitglieder.AY, así como el troyano Citifraud.A, centran la atención del informe sobre virus e intrusos de la presente semana.
Bagz.H se propaga empleando el correo electrónico. Para ello, en los equipos a los que afecta, busca direcciones en archivos con extensiones DBX, TXT, HTM, TBB o TBI que se encuentren en el ordenador. Sin embargo, no se envía a todas las que encuentra, ya que evita aquellas direcciones que contengan cadenas de texto como abuse, admin. o administrator@, entre otras.
Los mensajes de correo electrónico en los que Bagz.H se envía no tienen un formato determinado, ya que tanto el asunto como el cuerpo de texto, así como el nombre del archivo adjunto, son muy variables. En caso de que el usuario ejecute dicho fichero adjunto, Bagz.H se instala como un servicio llamadoXuy v palto. Además, el gusano modifica el fichero de hosts de Windows, de manera que impide el acceso a determinadas direcciones de Internet.
Por otra parte, Bagz.H borra las entradas del registro de Windows correspondientes a ciertas aplicaciones antivirus y de seguridad, e introduce otras que le permitirán estar activo cada vez que se reinicie el equipo.
Mitglieder.AYes un código malicioso estrechamente relacionado con los gusanos Bagle.BC y Bagle. BE (detectados hace unos días), ya que aprovecha los efectos de éstos para introducirse en los ordenadores directamente desde Internet. Mitglieder.AY emplea las puertas traseras que ambas variantes de Bagle crean en el puerto TCP 81. Así, Mitglieder.AY examina direcciones IP en busca de algún equipo que tenga abierto dicho puerto. En caso de encontrarlo, el gusano se introduce en el sistema y crea una copia de sí mismo en un archivo llamado winshost.exe.
A partir de ese momento, Mitglieder.AY finaliza procesos en memoria correspondientes a diversas aplicaciones. Además de ello, cada 6 horas intenta descargar el ficherozoo.jpg desde un gran número de direcciones de Internet predeterminadas. Si lo consigue, dicho archivo se almacena en el equipo con el nombreFile.exe. Éste último, cuando es ejecutado, se ocupa de descargar otros tipos de malware.
Finalmente, el troyanoCitifraud.A es, en realidad, un fichero escrito en HTMLque,aprovechando una conocida vulnerabilidad del navegador Microsoft Internet Explorer, contiene un link que simula enlazar con una dirección de una conocida entidad bancaria. Sin embargo, dicha dirección conduce a una falsa página web que imita el aspecto de la original. De esta manera, intenta conseguir que el usuario introduzca datos relativos a sus cuentas, con los que un hacker puede llevar a cabo fraudes financieros.
Fuente: Panda Antivirus