Diario Tecnologico - Informe semanal de Virus e Intrusos

El informe semanal sobre virus e intrusos que todas las semanas realiza PandaLabs se centra esta semana en varios códigos muy distintos entre ellos. Se trata de los virus ASPLux.A y Dengis.A; del troyano Snifsteal.A y del programa potencialmente no deseado Prokeylogger.

(DT, AGENCIAS) ASPLux.A, como ya se ha dicho, es un virus, y no tiene efectos destructivos. Su principal objetivo es propagarse insertando su código en archivos con extensión ASPX, utilizado en numerosas páginas web. Para infectar, busca archivos con la extension ASPX donde se alojan las páginas web creadas por el diseñador de las páginas web, y añade su propio código. Debido a esta acción, algunos archivos ASPX quedarían inservibles. Los archivos infectados tienen la marca “”, y así evita reinfectar los archivos que ya han sido contaminados.

Para propagarse, extiende su infección a otros archivos, insertando su código en los archivos con extensión ASPX que encuentre en cierto directorio del computador afectado. Para introducirse en otros computadores utiliza las vías habituales: disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.

El otro virus de este informe semanal es Dengis.A, también sin efectos destructivos. Su objetivo es la infección de los ficheros fuente del programa de cálculo matemático “Matlab”. Para infectar, crea un objeto COM utilizando la función de Matlab denominada “actxserver”. Este objeto permite que se ejecute código que no está presente dentro del virus. Dengis.A presenta un cifrado pseudopolimórfico, que utiliza una operación XOR y una clave que varía con cada infección.

Snifsteal.A es un troyano, y consiste en una versión modificada de la extensión de Mozilla denominada NumberedLinks 0.9, que es un componente de Mozilla que se utiliza para acceder a los enlaces de las páginas web a través del teclado numérico en lugar del ratón.

Este troyano obtiene la información introducida por el usuario en formularios (a través de Firefox), como contraseñas del programa de mensajería instantánea ICQ, del servidor FTP y de los clientes de correo electrónico IMAP y POP3. Una vez almacenados estos datos, los envía a su autor, conectándose a la página web http://81.96.133/sutra/in.cgi4_, para comprobar si ya ha sido descargado.

El informe concluye con Prokeylogger, un programa potencialmente no deseado (también conocido como PUP, Potentially Unwanted Program). Entre otras funciones, registra las pulsaciones de teclado introducidas por el usuario, obtiene las contraseñas que se han introducido en el computador y realiza capturas de pantalla. Además, puede monitorizar escritorios remotos, webcams remotas, el portapapeles, los mensajes de correo electrónico, conversaciones de chat y mensajes instantáneos. La información que ha recogido es almacenada en un archivo log, que envía a través de correo electrónico o FTP en formato RTF o HTML.

En Chile

La situación en los computadores chilenos es distinta, se destacan Ailis.A, Sdbot.ftp, PipeControl.A y Gaobot.LUZ.

Ailis.A es un gusano que se reproduce creando copias de sí mismo, sin infectar otros ficheros. Su objetivo fundamental es colapsar los computadores y las redes, impidiendo el trabajo a los usuarios. Tiene una peligrosidad y un daño altos. Su propagación es calificada como media.

Sdbot.ftp se propagan a través de Internet, atacando direcciones IP aleatorias, en las cuales intenta explotar vulnerabilidades propias de los sistemas operativos Windows, como por ejemplo RPC-DCOM, LSASS, etc. Cuando consigue explotar dicha vulnerabilidad con éxito, crea y ejecuta un script, que procederá a descargar el gusano a través de FTP. Es difícil de reconocer a simple vista, ya que no muestra mensajes ni avisos que alerten sobre su presencia. Tanto su propagación, como su daño y su peligrosidad son calificadas como medias.

PipeControl.A es un backdoor que permite a los piratas informáticos acceder de manera remota al computador afectado, para realizar en el mismo acciones que comprometen la confidencialidad del usuario o dificultan su trabajo. Si bien es cierto su propagación es baja y su peligrosidad es media, el daño que puede provocar a los computadores es altísimo.

Gaobot.LUZ es un gusano que se reproduce creando copias de sí mismo, sin infectar otros ficheros. Su objetivo fundamental es colapsar los computadores y las redes, impidiendo el trabajo a los usuarios. Se propaga atacando direcciones IP, obtenidas aleatoriamente o de la red a la que pertenece el computador afectado. Intenta acceder a las direcciones IP atacadas aprovechando alguna vulnerabilidad existente o a través de un puerto que se encuentre abierto. En caso de conseguirlo, descarga en el computador atacado una copia de sí mismo. Es importante considerar que el daño que genera es altísimo, a pesar de que su propagación es baja y su peligrosidad media.