Este código malicioso emprende un ataque de negación del servicio contra dos
sitios informativos sobre en conflicto en Chechenia, por lo que la política se
mantiene como uno de los móviles comunes para la producción de virus
tecnológicos.
Este gusano, descubierto en Internet el pasado 6 de diciembre, inicia una rutina
de envío masivo de correo electrónico infectado sin que el usuario lo advierta,
para lo cual busca direcciones electrónicas en archivos del sistema en el que se
ha instalado.
De acuerdo con la firma antivirus, este gusano multitarea de bajo riesgo
ejecuta un componente de puerta trasera (backdoor) que permite a un usuario
malicioso tomar control del sistema y usarla para propósitos ilegales.
Trend Micro indica que MASLAN.A aprovecha una vulnerabilidad de Windows
conocida como RPC-DCOM (Remote Procedure Call-Distributed Component Object Model),
al parecer para ayudarle en sus rutinas de propagación.
Asimismo, desactiva una serie de aplicaciones de seguridad informática que
incluyen programas antivirus, actualizaciones de software y funciones de
monitoreo del sistema de Windows 95, 98, ME, NT, 2000 y XP.
Al obtiener las direcciones electrónicas de sus víctimas de ciertos tipos de
archivos que está en la computadora infectada, este gusano residente en memoria
llega típicamente como un archivo adjunto denominado PlayGirls2.exe.
Luego de ejecutarse, deposita los componentes como ___r.exe, ___n.exe y ___synmgr.exe
en el directorio del sistema de Windows, y al infectar una máquina crea dos
entradas en el registro a fin de asegurar su autoejecución en cada inicio del
sistema.
Sin embargo, advierte la firma antivirus, por un error en su código, el
programa envía el siguiente mensaje de error del sistema operativo, y al hacer
clic en el botón "OK", se da por terminada la ejecución del gusano.
El código del gusano lleva la programación para iniciar una rutina de
propagación masiva por correo electrónico, mediante el cual envía copias de sí
mismo.
Detalla que las direcciones de sus víctimas son obtenidas de los archivos que
encuentra en el sistema con las extensiones adb, asp, cfg, cgi, dbx, dhtm, eml,
htm, jsp, mbx, mdx, mhtm, mmf, shtm, txt, xls y xml.
En el Nombre pueden aparecer Alan, Anna, Carter, Conor, Christian, Kramer,
Liza, Lopez, Jackson, Nelson, Peter, Robert, Sarah, Steven, entre otros que el
gusano tiene programados para colocar en ese espacio.
De igual forma, finaliza una variedad de procesos asociados con aplicaciones
antivirus y de seguridad del sistema, y ejecuta ataques de negación de servicio
contra los sitios Web chechenpress.com, chechenpress.info, kavkaz.org.uk,
kavkaz.tv, kavkaz.uk.com, kavkazcenter.com, kavkazcenter.info y kavkazcenter.net.
Luego, el gusano busca en la carpeta archivos de programas y sus
subdirectorios por archivos ejecutables con una ruta que contenga las líneas de
texto distr, download, setup y share.
La firma antivirus menciona que cuando MASLAN.A encuentra un archivo .EXE con
estas características, recupera la ruta para ese archivo y la copia en el
directorio ___b:, donde copia el archivo de cada programa reemplazando el
contenido por ceros.
Subraya que cuando el usuario abre el archivo que viaja con el correo
electrónico infectado por MASLAN.A, debería contagiar la computadora y
desencadenar los efectos arriba descritos, sin embargo -apunta- un error de
programación impide que eso pase.
Ante ello, Trend Micro prevé que nuevas versiones de la familia MASLAN
podrían ser liberadas próximamente con las adecuaciones que requiere para
hacerlo funcional y lograr sus objetivos.
WORM_MASLAN.A, precisa, es detectado y eliminado por el patrón de virus de
Trend Micro número 2.286.10 o superiores.
Por otra parte, la empresa antivirus informa que los 10 códigos maliciosos
con mayor propagación en el mundo, en la semana del 3 al 9 de diciembre, fueron
PE_BUGBEAR.DAM, WORM_NETSKY.P, HTML_NETSKY.P, WORM_NETSKY.D, WORM_SOBER.I,
WORM_MYDOOM.A, JAVA_BYTEVER.A, WORM_NETSKY.C, WORM_NETSKY.DAM y WORM_NETSKY.B. |