Esta semana, Trend Micro alertaba de la llegada de una nueva
variante del virus WORM_SDBOT.VQ , un gusano se propaga a través de
las unidades compartidas de una red y explota una serie de vulnerabilidades de
Windows, utilizadas con anterioridad por famosos gusanos de red como Slammer y
Blaster, entre otros.
Este código malicioso, en sus distintas variantes, circula por
la red desde el pasado mes de Octubre del año pasado, habiéndose detectado ya
hasta diez versiones distintas del código.
El virus WORM.SDBOT.VQ emprende ataques en tres etapas, poco
eficientes hasta el momento, pero muy regulares en la mayoría de las cientos de
versiones que circulan en la actualidad.
Entre ellas está la infección de la computadora. Cuando el
usuario abre un archivo alojado en su máquina, que supone confiable, el gusano
busca en la red los nombres de los usuarios y prueba una larga lista de
contraseñas débiles para lograr acceso a las unidades compartidas y dejar copias
de sí mismo en ellas.
Otra etapa es controlar el sistema infectado, que lo hace al
conectar la computadora, a espaldas del usuario, a servidores de IRC a través de
un robot, y sirve de intermediario e interfase entre un usuario remoto y la
computadora infectada.
Además se encuentra el robo de información, que se realiza luego
de que se ha tomado control de un sistema infectado y los autores tienen manera
de acceder a información del usuario y de la red.
Luego de ejecutarse, este gusano residente en memoria deposita
una copia de sí mismo en la carpeta del sistema de Windows con el nombre
EXPLORER32.EXE. y agrega una entrada en el registro para habilitar su ejecución
en cada inicio del sistema.
Asimismo, crea rutinas que serán usadas para husmear en la
configuración de la computadora (sniffing), registrar la actividad del teclado (keylogging)
y otras funciones de un componente de puerta trasera, e intenta enviar copias de
sí mismo en un archivo con nombre BLING.EXE, mediante un servidor TFTP que tiene
integrado.
La familia SDBOT es una muestra de cómo la construcción de un
código malicioso ha dejado de ser una actividad experimental, para integrarse
con otras actividades ilegales, como piratería, fraude y extracción ilícita de
datos confidenciales de empresas y usuarios individuales, guiados ya por
motivaciones económicas, dice Trend Micro, en su comunicado semanal sobre
actividad vírica.
Evaman
Mientras, la empresa Panda Software reporta que cuatro gusanos centraron la
actividad vírica de esta semana: Evaman.D, Mydoom.AB, Mydoom.Z y Mydoom.X.
Evaman.D, que se extiende a través del correo electrónico,
busca en el equipo infectado, los archivos que tengan alguna de las
siguientes extensiones: adb, asp, dbx, eml, htmb, html, msg, php, pl, sht, tbb,
txt y wab-, así como nuevas direcciones de correo a las que envía una copia del
virus.
Cada cinco segundos, Evaman.D comprueba si en memoria están
activos procesos y, si los hay, procede a finalizarlos. Algunos de los referidos
procesos pertenecen a programas antivirus, por lo que la acción del gusano
dejaría al equipo vulnerable al ataque de otros ejemplares de malware.
Los otros gusanos son las variantes AB, Z y la X de Mydoom, que
se propagan por correo electrónico en un mensaje escrito en inglés y de
características variables. Las tres se conectan a varios sitios web, de los que
intentan descargar un archivo perteneciente a un backdoor, que después instalan
en la PC.
Mydoom.AB y Mydoom.Z se diferencian de Mydoom.X en varios
aspectos, por ejemplo, expone, se difunden mediante el programa de intercambio
de archivos punto a punto (P2P) Kazaa; finalizan procesos pertenecientes a
programas de seguridad, entre los que se encuentran antivirus y firewalls. |