En su reporte semanal, la firma que diseña programas
antivirus reitera que se han renudado las actividades beligerantes entre los
autores de Bagle y Netsky, pues ante el lanzamiento de nuevas versiones del
primero, "era de esperarse una reacción de los contrincantes".
NETSKY.P, explica, cuenta con capacidades destructivas, las
cuales se propagan a través de correo electrónico utilizando su propio motor
SMTP (Simple Mail Transfer Protocol) y a través de directorios compartidos en la
computadora.
Este gusano facilita su rutina de propagación haciendo uso de
la vulnerabilidad del Internet Explorer conocida como Incorrect MIME Header, la
cual permite que los archivos adjuntos se ejecuten de manera automática sin la
autorización del usuario, incluso cuando el mensaje es revisado en vista previa.
El mensaje que envía NETSKY está construido de dos formas
diferentes; tiene programados 30 formatos predefinidos de mensaje, con dos o
tres textos opcionales para los campos "Asunto:" y "Cuerpo del Mensaje".
Precisa que dicho mensaje utiliza ingeniería social mediante
la cual busca convencer al usuario de abrir los archivos con diversos
argumentos, como la simulación de un mensaje de error en el envío de correo
electrónico, de información privada del destinatario.
Asimismo, notificaciones del proveedor del servicio de
Internet, envío de herramientas de limpieza de virus, o las más comunes que
simulan ser mensajes pornográficos o documentos de trabajo.
Los mensajes finalizan con un texto en el que se notifica
falsamente que el contenido ha sido revisado por una firma antivirus.
Refiere que el archivo adjunto puede presentar un nombre con
doble extensión, combinando las terminaciones .TXT o .DOC con .PIF, .EXE y .SCR,
así como un gran número de espacios entre una y otra extensión, con el objeto de
ocultarla y promover que el usuario no sospeche de su contenido.
Al igual que las versiones anteriores de NETSKY, esta versión
P toma las direcciones a las que enviará los mensajes de diversos tipos de
archivo que encuentra en el disco duro de la computadora infectada.
Algunos de los mensajes que aparecen en la computadora son ;.ADB;.ASP;.CGI;.DBX;.DHTM;.DOC;
.EML;.HTM;.HTML;.JSP;.MSG;.OFT; .PHP;.PL;.RTF;.SHT;.SHTM;.TBB;.TXT; .UIN;.VBS;.WAB;.WSH
y .XML.
Con el propósito de evitar su detección, la firma recomienda evitar el envío de
mensajes a las direcciones que contienen los siguientes segmentos de texto, @antivi;
@avp; @fbi; @bitdefender; @f-pro; @freeav; @f-secur; @kaspersky; @mcafee; @messagel;
@microsof; @norman; @norton ; @pandasof; @skynet ; @sophos ; @spam ; @symantec;
@viruslis; abuse@ ; noreply@ ; ntivir ; reports@ y spam@.
Trend Micro destaca que la mayoría de éstas están
relacionadas con empresas de seguridad, o como parte de direcciones electrónicas
de reporte de código malicioso.
En su reporte, Trend Micro da a conocer que durante la semana del 18 al 25 de
marzo de este año, los 10 códigos maliciosos más detectados fueron
WORM_LOVGATE.G; WORM_NETSKY.D; WORM_NETSKY.B; WORM_NETSKY.P; WORM_NETSKY.C;
PE_VALLA.A; WORM_MOFEI.B; WORM_MYDOOM.A; PE_NIMDA.E y WORM_BAGLE.GEN-1.
Asimismo, la firma alerta al mercado sobre la nueva variante
de BAGLE, el gusano WORM_BAGLE.U que fue detectado hoy y que se disemina por
medio de correo electrónico, a través de un mensaje en blanco, y que es
considerado de riesgo medio.
|