Diario Tecnologico - Informe Semanal de Virus e Intrusos

El Informe Semanal de Panda Software abarca esta semana información sobre un troyano, Mitglieder.EK, una herramienta de hacking, ModemSpy, y cinco gusanos, Zotob.A, Zotob.B, Zotob.D, IRCBot.KC e IRCBot.KD. A excepción de la herramienta de hacking, que no es un código malicioso en sí, todo este malware fue neutralizado en los equipos de los usuarios de las Tecnologías TruPreventTM sin ser aún conocido.

Mitglieder.EK es un troyano cuya principal funcionalidad es la finalización de procesos relacionados tanto con programas antivirus o firewalls, como con sus rutinas de actualización, y el borrado, modificación o creación de claves en el registro con este mismo fin, o para asegurarse su ejecución en cada reinicio. Además, intenta descargar un fichero OSA4.GIF , que simula ser una imagen, pero en realidad se trata de un ejecutable. Como todos los troyanos, no posee medios de propagación propios, por lo que depende para ello de la distribución manual de terceros, bien por correo, bien por programas P2P, u otros medios.

Zotob.A y Zotob.B son dos gusanos de funcionamiento análogo, que aprovechan una vulnerabilidad que provoca el desbordamiento de buffer en el servicio de Plug and Play de Windows, publicada por Microsoft en su boletín MS05-039, y que afecta a sistemas Windows 2000, Windows XP, y Windows 2003 Server. Gracias a esto consiguen propagarse, para lo cual llevan a cabo un barrido aleatorio de direcciones IP, chequeando en cada computador la existencia de dicha vulnerabilidad, a través del puerto TCP 445. En caso afirmativo, instala un servidor FTP en el computador afectado, y trata de descargar una copia de sí mismo a través del puerto TCP 33333. Una vez en el computador afectado, llevan a cabo dos acciones: por una parte, bloquean el acceso a páginas web de compañías antivirus, y por otro lado, abren una puerta trasera (o backdoor ), para recibir comandos por medio de IRC, entre los que pueden estar la descarga, ejecución, o borrado de ficheros.

Zotob.D , IRCBot.KC e IRCBot.KD son a su vez otros tres gusanos de funcionamiento muy similar entre sí, y que al igual que los anteriores, tratan de propagarse utilizando la vulnerabilidad en el servicio de Plug and Play. De nuevo lleva a cabo un barrido de IPs por el puerto 445, y en caso de existir la vulnerabilidad, intentará transmitir por TFTP el fichero conteniendo el gusano al computador. Las acciones que llevan a cabo dependen del gusano: Zotob.D borra diversos programas de adware o spyware, así como las variantes anteriores A, B, y C. IRCBot.KD trata de finalizar procesos relacionados con variantes anteriores tanto de Zotob como de IRCBot, así como de otro malware. Su característica común es la creación de una puerta trasera a través de la que reciben comandos por medio de la conexión a determinados canales de IRC.

Estos tres gusanos han infectado un número significativo de grandes compañías en EEUU, creando un estado de alerta naranja. Para evitar la infección, se recomienda mantener su software antivirus actualizado, así como la descarga del parche para solucionar la vulnerabilidad de Plug and Play.

Finalmente, ModemSpy es una herramienta de hacking. En realidad es un software legítimo, pero en manos de hackers puede dar lugar a usos indebidos. Este software permite llevar a cabo el registro de conversaciones telefónicas, su posterior reproducción o envío por correo, la identificación de quienes llaman, o incluso la grabación de mensajes, por medio de un micrófono. Así mismo, posee funcionalidad para pasar desapercibido para el usuario, gracias a un modo de ocultación.

Para evitar la entrada de este malware o de cualquier otro código malicioso, Panda Software recomienda mantener actualizado el software antivirus. Los clientes de Panda Software ya tienen a su disposición las correspondientes actualizaciones para la detección y desinfección de estas especies de malware.

Enlaces relacionados
www.pandasoftware.cl