Diario Tecnologico - Informe sobre virus e intrusos

Según los datos recogidos esta semana en la web Infected or Not, el 30,11% de los computadores con algún tipo de protección instalada que han sido analizados con NanoScan o TotalScan (las herramientas online de Panda Security disponibles en esa web) estaban infectados con algún tipo de código malicioso.

(DT, AGENCIAS) El adware y los programas potencialmente no deseados (PUP o Potencially Unwanted Programs) han ocupado la mayoría de los diez primeros puestos de los códigos maliciosos más detectados por TotalScan. Ambos tipos de malware pueden obtener datos confidenciales de los usuarios y aprovechar luego esa información para, por ejemplo, mostrar publicidad más personalizada a los usuarios durante su navegación por la Red.

Los dos ejemplares más detectados esta semana han sido dos PUP: MyWebSearch y FunWeb. El troyano Downloader.MDW, diseñado para descargar otros códigos maliciosos en los computadores, ha ocupado la tercera posición.

De los miles de códigos maliciosos nuevos aparecidos esta semana, PandaLabs destaca en su informe, por sus características, al troyano Lina.D, al gusano Kimo.A y al virus Gnome.D.

Lina.D llega al equipo con el icono de un documento de Word, sin embargo, si el usuario intenta abrir este documento, el troyano se ejecutará, mostrando a la vez un documento de texto con un código HTML.

Este troyano realiza copias de sí mismo en varios directorios. Además, suelta varios ficheros en el sistema. Uno de ellos es detectado por PandaLabs como el troyano Leword.A, mientras que otro tiene la tarea de ejecutar una copia del troyano todos los días a una hora determinada.

Lina.D modifica el registro de Windows para asegurarse la ejecución con cada reinicio del sistema.

El gusano Kimo.A provoca muchas molestias a los usuarios infectados, ya que su presencia provoca que el equipo se apague repentinamente cada cierto tiempo, que se cierre la sesión a los pocos segundos de haber reiniciado el equipo y que se ralentice el equipo.

Este gusano genera un fichero Autorun.inf en cada unidad mapeada del sistema. Éste le permite ejecutarse cada vez que el usuario hace doble clic sobre la unidad. Además, si el usuario pulsa sobre alguna de las opciones del menú contextual que aparecen al pulsar sobre el botón derecho del ratón, el gusano se ejecutará.

Kimo.A realiza varias modificaciones en el registro de Windows, de manera que restringe el acceso a las opciones de Internet Explorer, impide modificar las “Opciones de Carpeta” o permite al gusano ejecutarse con cada reinicio del sistema.

Gnome.D es un virus con funcionalidades de gusano. El fichero se distribuye con el icono que por defecto tiene Windows para archivos ejecutables, con el nombre: “cool_screen_saver”. Si el usuario ejecuta este fichero, realmente estará ejecutando el virus.

Este código malicioso se copia en el sistema con nombres como Winexegn.exe y Winscrgn.exe. Además suelta varios archivos en el computador infectado. Si el usuario tiene instalado el programa de comunicación mIRC, el virus realizará una copia de sí mismo y creará dos nuevos ficheros en el directorio en que éste se encuentre.

Todos los archivos creados y soltados en el computador tienen como misión ayudar a Gnome.D en su propagación. En el caso de los creados en el directorio de mIRC, la propagación se producirá a través de este medio. Para ello, cada vez que el usuario se conecte a un servidor IRC, el virus enviará un mensaje con el nick del usuario y un texto aleatorio. Algunos ejemplos son: “see this screen saver so i send you” o “ i just get new $chan screen saver“. Este mensaje va acompañado del archivo infectado.

Gnome.D se propaga también a través de correo electrónico. Para ello envía un mail con el fichero infectado adjunto y con el siguiente texto: “Hi dear friend, I want to show you what I has found in the Internet! L check the att ached file for more info. V I have incluyed a program which illustrates hm y opinion a bout things you wrot e me a few days ago. check this nice. bye. ; - )”

Además, al abrir una aplicación, el virus se inyecta dentro de su código y modifica el punto de entrada para que al ser ejecutada se active también el virus.