Esta semana, Trend Micro alertaba de la llegada de una nueva variante del  virus WORM_SDBOT.VQ , un  gusano se propaga a través de las unidades compartidas de una red y explota una serie de vulnerabilidades de Windows, utilizadas con anterioridad por famosos gusanos de red como Slammer y Blaster, entre otros.

Este código malicioso, en sus distintas variantes, circula por la red desde el pasado mes de Octubre del año pasado, habiéndose detectado ya hasta diez versiones distintas del código.

El virus WORM.SDBOT.VQ emprende ataques en tres etapas, poco eficientes hasta el momento, pero muy regulares en la mayoría de las cientos de versiones que circulan en la actualidad.

Entre ellas está la infección de la computadora. Cuando el usuario abre un archivo alojado en su máquina, que supone confiable, el gusano busca en la red los nombres de los usuarios y prueba una larga lista de contraseñas débiles para lograr acceso a las unidades compartidas y dejar copias de sí mismo en ellas.

Otra etapa es controlar el sistema infectado, que lo hace al conectar la computadora, a espaldas del usuario, a servidores de IRC a través de un robot, y sirve de intermediario e interfase entre un usuario remoto y la computadora infectada.

Además se encuentra el robo de información, que se realiza luego de que se ha tomado control de un sistema infectado y los autores tienen manera de acceder a información del usuario y de la red.

Luego de ejecutarse, este gusano residente en memoria deposita una copia de sí mismo en la carpeta del sistema de Windows con el nombre EXPLORER32.EXE. y agrega una entrada en el registro para habilitar su ejecución en cada inicio del sistema.

Asimismo, crea rutinas que serán usadas para husmear en la configuración de la computadora (sniffing), registrar la actividad del teclado (keylogging) y otras funciones de un componente de puerta trasera, e intenta enviar copias de sí mismo en un archivo con nombre BLING.EXE, mediante un servidor TFTP que tiene integrado.

La familia SDBOT es una muestra de cómo la construcción de un código malicioso ha dejado de ser una actividad experimental, para integrarse con otras actividades ilegales, como piratería, fraude y extracción ilícita de datos confidenciales de empresas y usuarios individuales, guiados ya por motivaciones económicas, dice Trend Micro, en su comunicado semanal sobre actividad vírica.

Evaman

 
Mientras, la empresa Panda Software reporta que cuatro gusanos centraron la actividad vírica de esta semana: Evaman.D, Mydoom.AB, Mydoom.Z y Mydoom.X.

Evaman.D, que se extiende a través del correo electrónico,  busca en el equipo infectado,  los archivos que tengan alguna de las siguientes extensiones: adb, asp, dbx, eml, htmb, html, msg, php, pl, sht, tbb, txt y wab-, así como nuevas direcciones de correo a las que envía una copia del virus.

Cada cinco segundos, Evaman.D comprueba si en memoria están activos procesos y, si los hay, procede a finalizarlos. Algunos de los referidos procesos pertenecen a programas antivirus, por lo que la acción del gusano dejaría al equipo vulnerable al ataque de otros ejemplares de malware.

Los otros gusanos son las variantes AB, Z y la X de Mydoom, que se propagan por correo electrónico en un mensaje escrito en inglés y de características variables. Las tres se conectan a varios sitios web, de los que intentan descargar un archivo perteneciente a un backdoor, que después instalan en la PC.

Mydoom.AB y Mydoom.Z se diferencian de Mydoom.X en varios aspectos, por ejemplo, expone, se difunden mediante el programa de intercambio de archivos punto a punto (P2P) Kazaa; finalizan procesos pertenecientes a programas de seguridad, entre los que se encuentran antivirus y firewalls.