La empresa de soluciones antivirus detalla en un comunicado que Nesky.V se
propaga a través del correo electrónico en un mensaje de características
variables y escrito en inglés, que no incluye archivo adjunto, sino código HTML
con un exploit ObjectData, cuya ejecución provoca su descarga.
Un exploit es una técnica o programa que aprovecha un fallo o hueco de
seguridad -una vulnerabilidad- existente en un determinado protocolo de
comunicaciones, sistema operativo o herramienta informática.
Refiere que al infectar el equipo, Netsky.V realiza acciones como la
instalación de un troyano que escucha en los puertos TCP 5556 y 5557 y anuncia
que entre el 22 y 28 de abril de este año -ambos días inclusive- realizará
ataques de negación de servicio (DoS) contra diversas páginas web.
Detalla que este código malicioso busca direcciones de correo electrónico en
archivos con las extensiones ADB, ASP, CFG, CGI, DBX, DHTM, DOC, EML, HTM, HTML,
JSP, MBX, MDX, MHT, MMF, MSG, NCH, ODS, OFT, PHP, PL, PPT, RTF, SHT, SHTM, STM,
TBB, TXT, UIN, VBS, WAB, WSH, XLS y XML, enviándose a todas las direcciones
recogidas usando su propio motor SMTP.
De igual forma, añade, crea el mutex _-=oOOSOkOyONOeOtOo=-_ para evitar
varias ejecuciones simultáneas.
Panda Software indica que el método de la variante U para diseminarse es
semejante a la V, pero ést siempre incluye un archivo adjunto con extensión PIF
que instala un backdoor que escucha el puerto TCP 6789 y que también se envía
utilizando su propio motor SMTP a las direcciones que recopila en el equipo
afectado.
Explica por otra parte que Hideout.A es un programa que puede ser utilizado
por un hacker para causar perjuicios a los usuarios de una computadora y que en
este caso se ejecuta desde una línea de comandos.
Asimismo, agrega, permite realizar sobre los servicios activos en
computadoras remotas acciones como el inventario de los que están ejecutándose,
mostrar información de ellos o detenerlos.
|