|
Noticias
relacionadas |
|
|
|
En un comunicado, Trend Micro señaló que la nueva versión del
gusano BAGLE, PE_BAGLE.P corre en todas las versiones de Windows desde 95 hasta
la XP y se propaga desde esta madrugada a través de correo electrónico y
programas para compartir archivos en línea.
Detalló que esta versión se presenta disfrazada de una
solución antivirus, realiza una serie de acciones que desactivan las infecciones
de versiones anteriores de la familia NETSKY, y envía una serie de mensajes a
sus creadores.
Además, es un gusano con capacidades combinadas de ataque,
entre las que incluye contaminación de archivos ejecutables, instalación de un
componente de puerta trasera y la terminación de procesos relacionados con
programas antivirus.
El mensaje que llega a las computadoras, simula ser una
advertencia de epidemias de virus y ofrece en el archivo adjunto una solución
contra las amenazas.
Por su parte, en un comunicado, la compañía Panda Software
detalló que las variantes H, I, J, K, L y M de Netsky tienen en común que se
propagan a través del correo electrónico en un mensaje de características
variables y escrito en inglés.
Netsky en sus versiones H, I, J y K se caracterizan por
borrar las entradas pertenecientes a varios gusanos como Mydoom.A, Mydoom.B,
Mimail.T y diferentes variantes de Bagle y emiten un sonido compuesto de varios
tonos aleatorios cuando la fecha del sistema es una determinada.
Sin embargo, el H, I y J se diferencian por el tamaño del
archivo, el nombre del mutex que generan para asegurarse de que no se ejecutan
varias veces al mismo tiempo; los textos que incluyen en su código y el número
de hilos de ejecución simultánea que crean para enviarse a través del correo
electrónico.
Por su parte, la variante K está programada para abrir el
puerto 26 el próximo 16 de marzo y esperar una conexión a través del mismo,
después borrará la entrada que creó en el Registro de Windows y mostrará un
mensaje en pantalla.
En algunas ocasiones esta variante envía un archivo adjunto
comprimido en formato ZIP y protegido mediante contraseña e incluye en su código
un texto mucho más extenso que el de sus predecesoras, en el que anuncia que el
11 de marzo era "el día de Skynet".
A su vez, los gusanos Nachi.F y Nachi.G. afectan a
computadoras con sistemas operativos Windows 2003/XP/2000/NT, y para propagarse
al mayor número de computadoras posible, aprovechan las vulnerabilidades
conocidas como desbordamiento de buffer en interfaz RPC, WebDAV y Desbordamiento
de buffer en servicio Workstation.
En tanto, las dos provocan un aumento del tráfico de red por
los puertos TCP 80, 135 y 445, al tiempo que intentan propagarse a través del
puerto 3127, que es abierto por el troyano que instalan los gusanos Mydoom.A y
Mydoom.B.
Finalmente se borran a sí mismas cuando la fecha del sistema
sea 1 de julio de 2004 o posterior.
El gusano Bagle.L contiene un troyano que abre el puerto TCP
2745 e intenta conectarse a varias páginas web que albergan un script PHP,
además termina los procesos correspondientes a aplicaciones de actualización de
diversos programas antivirus y deja de funcionar cuando la fecha del sistema es
superior al 25 de marzo de 2005.
Bagle.M, por su parte, es un gusano que intenta conectarse a
varias páginas web que albergan un script PHP, y descarga una lista de
direcciones IP de varias páginas PHP.
El gusano Sober.D busca direcciones de correo electrónico en
archivos que tienen determinadas extensiones, y se envía a sí mismo a todas las
que encuentra; mientras que Cidra.B es un troyano que ha sido enviado
masivamente en un mensaje escrito en inglés, con un archivo adjunto llamado
P_USB.ZIP.
Este código malicioso abre el puerto TCP 5004 y permanece a
su escucha. Además, permite descargar en la computadora afectada un archivo, y
posteriormente ejecutarlo, y también actúa como servidor proxy SOCKS4,
dirigiendo el tráfico TCP a través de la computadora afectada.
|