Diario Tecnologico - Los virus de esta semana

Dos troyanos, Alanchum.NX y Cimuz.CM, y un gusano, Nuwar.D, protagonizan el informe de Panda Software sobre virus e intrusos de esta semana.

(DT, AGENCIAS) Alanchum.NX es un troyano de la familia downloader que es descargado en el computador por otro troyano, Gagar.CG. Como todo el malware de la familia downloader, es capaz de descargar archivos desde Internet e instalarlos y ejecutarlos en el equipo afectado. Alanchum.NX utiliza esa capacidad para descargar actualizaciones de si mismo, es decir, para propagar nuevas variantes. Este troyano está diseñado para robar todas las direcciones de correo almacenadas en el computador infectado y aprovecharlas para mandar spam de forma masiva.

Esto provoca un importante aumento del tráfico de red, con la consiguiente pérdida de recursos para el usuario. Cada una de las actualizaciones, además, está programada para cambiar el asunto de los mensajes que envía, de forma que sean más difíciles de detectar como spam por los usuarios. Un aspecto importante, a la vez que curioso, de los correos que envía Alanchum.NX es el asunto de esos correos, que aprovechan falsos asuntos de actualidad para incitar al usuario a abrirlos. Algunos de esos asuntos son “Fidel Castro Dead” (Fídel Castro ha muerto), “Hugo Chávez dead” (Hugo Chávez ha muerto) o “Sadam Hussein Alive” (Sadam Hussein está vivo).

Algunas de las variantes de Alanchum.NX cuentan con funcionalidades rootkit, desarrolladas para intentar ocultar los procesos que este troyano lleva a cabo en el computador, dificultando así su detección. Las Tecnologías TruPreventTM de Panda Software, sin embargo, detectaron tanto a Alanchum.NX como a sus distintas variantes desde el primer momento.

Este troyano realiza otras funciones maliciosas en la máquina afectada, como la de enviar por correo a todos los computadores que ha infectado aquellas direcciones nuevas que va robando, para que así cuenten con más direcciones a las que enviar correos basura.

Diseñado para robar claves del equipo afectado, Cimuz.CM es un troyano que llega al PC, entre otras formas, por correo electrónico o en algún archivo descargado de Internet. Este troyano crea una copia de si mismo en el sistema, antes de comenzar a sustraer la información introducida o almacenada por el usuario en su computador. En concreto, este troyano está especializado en robar todas las claves que estén guardadas en el sistema, de modo que, si un usuario tiene guardada alguna clave bancaria, Cimuz.CM podría utilizarlas. Al ejecutarse, este troyano puede mostrar algún mensaje de error, lo que puede advertir al usuario de la presencia de este malware en su equipo.

Estos dos códigos maliciosos están diseñados para hacerse con datos confidenciales del usuario que puedan ser usados, posteriormente, para obtener algún beneficio económico. Si el usuario conserva en su sistema números de tarjetas de crédito, contraseñas de banca on-line o demás información sensible, podrá ser rápida y fácilmente estafado.

El gusano Nuwar.D también es de tipo downloader y está diseñado para descargarse y ejecutar distintas variedades de malware, entre las que se encuentra una actualización de sí mismo. Además, Nuwar.D crea copias de sí mismo en el sistema. El asunto del correo en el que llega este gusano es variable, mientras que el archivo adjunto que lo contiene es un ejecutable con nombres como Flash Postcard.exe o greeting postcard.exe. Para propagarse, genera una serie de IPs aleatorias a las que intenta conectarse para dejar en ellas una copia de sí mismo. Además, comprueba si el usuario está conectado a ciertas redes P2P de intercambio de ficheros. En caso de que lo esté, Nuwar.D se renombra y se presenta ante el servidor de esa red como un fichero disponible para su descarga, de modo que, si algún usuario está buscando un archivo que coincida con el nombre que el gusano se ha dado, en vez de aquello que busca, se descargará este gusano.