Según el documento, WORM_ANIG.B fue detectado el pasado 12 de abril y posee
las mismas características que la versión original que apareció a finales de
enero pasado, aunque no tiene fallas en su programación.
Se trata un gusano no destructivo de nueva generación, residente en memoria
que actualmente se disemina libremente y se propaga haciendo copias de sí mismo
en las unidades compartidas de la red.
Posee habilidades de componente de puerta trasera para robar la información
del inicio de sesión, que logra a través de un keylogger (programa que registra
la actividad del teclado); los datos que obtiene se guardan en un archivo que
puede ser recuperado por un usuario remoto.
Después de ejecutarse, ANIG.B deposita una copia de sí mismo con el nombre
NTOSA32.EXE en la carpeta de Windows; crea dos entradas en el registro, una le
asegura iniciar en cada ejecución y otra lo habilita a ser activado como un
servicio, que se muestra en el Administrador de Tareas como "Disdributed File
Controller"
Este código malicioso se propaga a través de las unidades compartidas de red
y primero intenta copiarse a sí mismo en la ruta <sistema remoto>\ADMIN$\System32\NTOSA32.EXE,
que al ejecutarse instala un keylogger para sustituir un archivo legítimo por
uno de nombre similar, pero con diferentes funciones.
El archivo de referencia MSGINA.DLL controla la función Graphical
Identification and Authentication (Identificación y Autenticación Gráfica) de
Microsoft, y es suplantado por NTGINA.DLL.
Una vez que crea una entrada en el registro, el gusano puede robar la
información de inicio de sesión en el sistema para guardarla en el archivo
NTKBH32.DLL, que se localiza en la carpeta del sistema de Windows.
Finalmente, abre el puerto TCP 5190 donde espera por comandos remotos e
intenta usar una sesión de ICQ para comunicarse con un usuario remoto.
Trend Micro informo también de los 10 códigos
maliciosos más detectados en el mundo, del 9 al 15 de abril, fueron
WORM_NETSKY.P, WORM_NETSKY.D, WORM_NETSKY.B, WORM_NETSKY.Q, WORM_NETSKY.C,
PE_NIMDA.E, HTML_NETSKY.P, JAVA_BYTEVER.A, PE_VALLA.A y WORM_NETSKY.DAM.
|