09/07/04.
Un virus denominado Lovgate.AO y tres gusanos -Korgo.X, Evaman.A y Bagle.AD-, protagonizan el informe sobre virus e intrusos de esta semana.
Lovgate.AO es un virus con características de gusano que se propaga a través del correo electrónico, de unidades y de recursos compartidos de red, y aprovechándose de la vulnerabilidad Saturación de buffer en interfaz RPC. Afecta a ordenadores con Windows 2003/XP/2000/NT e infecta archivos con extensión EXE, insertando su código al inicio y al final de los mismos.
En el equipo al que afecta, Lovgate.AO instala un backdoor que permanece a la escucha de un puerto, que escoge aleatoriamente. Su objetivo es permitir acceder, de forma remota, al ordenador y realizar en él acciones que comprometen la confidencialidad de sus datos (ya que recoge información que posteriormente envía a quien ha creado su código), o dificultan el trabajo del usuario. Adicionalmente, si Lovgate.AO encuentra activos en memoria determinados procesos -relacionados con programas antivirus y con otros gusanos-, los termina.
El primer gusano al que nos referimos hoy es Korgo.X, que utiliza la vulnerabilidad de Windows LSASS para propagarse a través de Internet e introducirse automáticamente en los ordenadores. También afecta a todas las plataformas Windows, si bien sólo se introduce de forma automática en aquellos equipos que funcionen bajo Windows XP y 2000 y no han sido convenientemente actualizados.
La variante X de Korgo se coloca residente en memoria y se conecta a una serie de servidores IRC, de los que puede descargarse archivos para posteriormente ejecutarlos en el PC al que afecta.
El siguiente gusano que analizamos hoy es Evaman.A. Se difunde, a través del correo electrónico y en un e-mail escrito en inglés (que simula ser un mensaje devuelto a causa de un supuesto error), a todas las direcciones que encuentra en un determinado sitio web. En algunas ocasiones, cuando Evaman.A es ejecutado por primera vez se abre el programa Notepad.
Finalizamos el presente informe con Bagle.AD, gusano que se propaga a través del correo electrónico, en mensajes escritos en inglés y mediante programas de intercambio de ficheros punto a punto (P2P).
Bagle.AD abre el puerto TCP 1234 y permanece a la escucha, a la espera de que se realice una conexión remota. A través de ella, y hasta el 24 de enero de 2005, permite acceder de forma remota al ordenador al que afecta, para realizar en él acciones que comprometen la confidencialidad de los datos del usuario o dificultan su trabajo. Para notificar a su creador que el PC es accesible a través del puerto abierto, este código malicioso se conecta a un sitio web que alberga un script PHP.
Bagle.AD elimina del Registro de Windows las entradas correspondientes a algunas variantes del gusano Netsky, impidiendo así que se activen cuando se inicia Windows. Asimismo, cuando es ejecutado, muestra en pantalla un falso mensaje de error.
gracia a panda por el informe
No hay comentarios.:
Publicar un comentario