|
Informe
de Panda Software sobre virus
Cuatro gusanos
-NiceHello, CodeRed.F, Deloder.A y Prom- y un troyano llamado SysComm
centran la atención del presente informe de Panda Software
sobre códigos maliciosos. NiceHello destaca, en primer lugar,
porque esta semana ha conseguido desbancar a Klez.I de la primera
posición de los virus más frecuentemente detectados
por la solución antivirus online y gratuita Panda ActiveScan,
puesto que ocupaba desde hace varios meses.
NiceHello se
difunde por correo electrónico en un mensaje muy fácil
de reconocer, ya que en su cuerpo aparece la frase: "es solo
para vos". Tras afectar a un ordenador manda una copia de sí
mismo a todas las direcciones de correo que encuentra en la lista
de contactos del programa de mensajería instantánea
MSN Messenger. Igualmente, NiceHello envía al autor del virus
un e-mail en el que incluye el nombre de usuario y la contraseña
de MSN Messenger del propietario del ordenador al que ha afectado.
Por su parte,
CodeRed.F es una variante de otro gusano denominado RedCode.IIS.2,
del que se diferencia en 2 bytes. Dicha modificación permite
a CodeRed.F propagarse hasta el año 34952, mientras que su
predecesor sólo podía hacerlo hasta octubre de 2001.
Para difundirse CodeRed.F aprovecha una vulnerabilidad existente
en Index Server 2.0, Indexing Service e Internet Information Server
(versiones 4.0 y 5.0). Cuando se introduce en el equipo crea un
fichero con características de troyano denominado "EXPLORER.EXE"
que, a su vez, genera dos unidades virtuales a través de
las cuales podrá accederse al equipo al que afecta. A partir
de ese momento, además de causar bloqueos inesperados del
sistema, CodeRed.F reiniciará cada 48 horas los ordenadores
cuyo sistema operativo esté en chino, y cada 24 horas aquellos
que tengan el sistema operativo en otros idiomas.
El tercer gusano
es Deloder.A, que se propaga a través de redes locales o
a través de Internet y deshabilita los recursos compartidos:
C$, D$, E$, ADMIN$ e IPC$. Además, crea y ejecuta un troyano
de tipo backdoor. Para acceder, de forma remota, a otros equipos
intenta conectar -a través del puerto TCP 445- con una serie
determinada de direcciones IP.
Prom es un gusano
que sólo afecta a los ordenadores que tengan instalado Windows
XP/2000/NT. Se difunde a través del correo electrónico
en un mensaje difícil de reconocer, ya que sus características
son muy variables.
Por último,
SysComm es un troyano de tipo dialer que, tras afectar un equipo,
conecta con un teléfono de pago (del tipo "906-xxx-xxx")
cuando el sistema indica que es el 1º de abril o una fecha
posterior. SysComm se propaga, principalmente, por e-mail en un
mensaje que incluye los siguientes archivos: "FERIA.JPG.VBS"
-que es el fichero que origina la infección-, "FERIA2.JPG"
-que corresponde a una imagen-, y "ATTXXXXX.ATT", que
carece de contenido.
Por mayor información
sobre códigos maliciosos, dirigirse a la Enciclopedia
de Virus de Panda Software, disponible en el website
de Panda.
|
