|
Los virus más letales |
||
|
|
||
|
Por: vnunet.es |
Enviar a un amigo
|
Imprimir página |
|
Sasser.F, Cycle.A, Bagle.AC, Sober.G y Wallon.A, y Qhost.gen centran la atención
del informe sobre virus e intrusos de Panda. Sasser.F se difunde a través de
Internet, aprovechándose para ello de la vulnerabilidad LSASS. En el equipo al
que afecta provoca un desbordamiento de buffer en el programa LSASS.EXE, el
reinicio del ordenador y la aparición en pantalla de un mensaje. Como las otras
variantes de Sasser aparecidas con anterioridad, la F se propaga de manera
automática en ordenadores con Windows XP/2000. También funciona en el resto de
sistemas operativos Windows, si el archivo que lo contiene es ejecutado por un
usuario malicioso.
Como el código malicioso citado anteriormente, Cycle.A también se propaga a
través de Internet, explotando la vulnerabilidad LSASS y provocando el reinicio
del ordenador afectado. A su vez, finaliza los procesos correspondientes a los
gusanos Blaster, Sasser.A, Sasser.B, Sasser.C y Sasser.D, y realiza ataques de
denegación de servicio contra varios sitios web, cuando la fecha del sistema no
se encuentra entre el 1 y el 18 de mayo, ambos inclusive.
El tercer gusano es Bagle.AC, que finaliza procesos correspondientes a diversas
aplicaciones de seguridad, como programas antivirus y firewalls, así como
diferentes gusanos. Además, intenta conectarse a través del puerto 14441 a
varias páginas web, que albergan un script PHP, con el objetivo de notificar a
su autor que el ordenador ha sido afectado.
Sober.G, por su parte, es un gusano que se propaga a través del correo
electrónico en un mensaje escrito en inglés o alemán, dependiendo de la
extensión del dominio de la dirección de correo del usuario. En el equipo al que
afecta busca, en ficheros que tienen determinadas extensiones, direcciones de
correo electrónico, a las que se envía empleando su propio motor SMTP.
El quinto gusano del informe es Wallon.A, que se descarga en el ordenador
aprovechándose para ello de la vulnerabilidad Exploit/MIE.CHM. El proceso que
realiza para difundirse es el siguiente: el usuario recibe un e-mail que
contiene un enlace a una determinada página web. Si el usuario visita la
referida página, Wallon.A se descarga en el equipo.
Wallon.A recoge todos los contactos que encuentra en la libreta de direcciones
de Windows y los envía a una dirección de correo electrónico. Asimismo, este
gusano cambia la página de inicio del navegador Internet Explorer y, si la
Libreta de direcciones de Windows se encuentra vacía, muestra en pantalla un
mensaje de error.
Finalizamos el informe de hoy con Qhost.gen, que es una detección genérica de
ficheros HOSTS modificados por varios ejemplares de malware, entre los que se
encuentran diferentes variantes del Gaobot. El citado fichero contiene una serie
de líneas que son las primeras que Windows utiliza para la resolución de nombres
a direcciones IP (antes que otros servicios tales como WINS o DNS).
Los ficheros HOSTS son modificados por el citado malware de tal forma que
asocian una lista de direcciones web a la dirección IP 127.0.0.1, consiguiendo
así que las direcciones incluidas en dicha lista sean inaccesibles. Las
referidas páginas web suelen pertenecer a compañías que comercializan software
de seguridad como, por ejemplo, soluciones antimalware. Por tal motivo, el
usuario cuyo equipo haya resultado afectado por Qhost.gen no podría acceder a
estas páginas y consultar información, actualizar su solución, etc.
17 de mayo de 2004
