Worm_anig.b, un gusano que roba datos en redes corporativas

La actualidad - Mundo Digital

Trend Micro dio a conocer que fue detectada la segunda versión del gusano ANIG, de nueva generación, que no requiere portadores para su diseminación y cuyo objetivo principal es obtener los datos de acceso a la red infectada.

Noticias relacionadas

Según el documento, WORM_ANIG.B fue detectado el pasado 12 de abril y posee las mismas características que la versión original que apareció a finales de enero pasado, aunque no tiene fallas en su programación.

Se trata un gusano no destructivo de nueva generación, residente en memoria que actualmente se disemina libremente y se propaga haciendo copias de sí mismo en las unidades compartidas de la red.

Posee habilidades de componente de puerta trasera para robar la información del inicio de sesión, que logra a través de un keylogger (programa que registra la actividad del teclado); los datos que obtiene se guardan en un archivo que puede ser recuperado por un usuario remoto.

Después de ejecutarse, ANIG.B deposita una copia de sí mismo con el nombre NTOSA32.EXE en la carpeta de Windows; crea dos entradas en el registro, una le asegura iniciar en cada ejecución y otra lo habilita a ser activado como un servicio, que se muestra en el Administrador de Tareas como "Disdributed File Controller"

Este código malicioso se propaga a través de las unidades compartidas de red y primero intenta copiarse a sí mismo en la ruta <sistema remoto>\ADMIN$\System32\NTOSA32.EXE, que al ejecutarse instala un keylogger para sustituir un archivo legítimo por uno de nombre similar, pero con diferentes funciones.

El archivo de referencia MSGINA.DLL controla la función Graphical Identification and Authentication (Identificación y Autenticación Gráfica) de Microsoft, y es suplantado por NTGINA.DLL.

Una vez que crea una entrada en el registro, el gusano puede robar la información de inicio de sesión en el sistema para guardarla en el archivo NTKBH32.DLL, que se localiza en la carpeta del sistema de Windows.

Finalmente, abre el puerto TCP 5190 donde espera por comandos remotos e intenta usar una sesión de ICQ para comunicarse con un usuario remoto.

Trend Micro informo también de los 10 códigos maliciosos más detectados en el mundo, del 9 al 15 de abril, fueron WORM_NETSKY.P, WORM_NETSKY.D, WORM_NETSKY.B, WORM_NETSKY.Q, WORM_NETSKY.C, PE_NIMDA.E, HTML_NETSKY.P, JAVA_BYTEVER.A, PE_VALLA.A y WORM_NETSKY.DAM.

Enlaces relacionados

Ahora puedes dar tu opinión o aportar tus propios comentarios en los FOROS DE NOTICIASDOT.COM

Busca en Internet

domingo, 25 mayo 2014

Noticiasdot.com Edita : Noticias Digitales SL - Editor ejecutivo y Director: Angel Cortés
Noticiasdot.com	Stilo	Cine	Viajes	Gadgetmania
	Más 18	RSS	Suscripciones
Direcciones de correo electrónico: Redacción - Información - Anunciate en Noticiasdot.com: Publicidad - ¿Quienes somos? - Redacción en Chile: Transmedia.cl
Con el patrocinio de FRANQUICIA LASER GAME - QUASAR ELITE Laser Game