|
Noticias
relacionadas |
|
|
|
Para propagarse al mayor número de equipos posible, Bagle.BN y Mitglieder.BO
colaboran estrechamente. Así, Mitglieder.BO llega a los equipos en un mensaje
de correo electrónico, en forma de un fichero adjunto que puede tener nombres
como price.zip o price2.zip, entre otros. Si el usuario ejecuta el archivo, el
troyano se activará y tratará de conectarse a una dirección de Internet, desde
la que descargar al gusano Bagle.BN en el sistema. Una vez que Bagle.BN se
instala en el ordenador, se encarga de enviar a Mitglieder.BO a las direcciones
que se encuentran en un fichero llamado EML.EXE, que también es descargado
desde Internet. Para ello, el gusano utiliza su propio motor SMTP.
Mitglieder.BO finaliza los procesos pertenecientes a diversos programas
antivirus y de seguridad, y sobrescribe el fichero de "hosts" de Windows, para
impedir que los usuarios puedan conectarse a determinadas páginas web.
Bagle.BN, por su parte, abre el puerto TCP 80 y permanece a la escucha,
a la espera de que se realice una conexión remota. A través de ella, permite el
acceso remoto al ordenador afectado, para realizar en él acciones que
comprometen la confidencialidad de los datos del usuario, o dificultan su
trabajo.
El segundo gusano que mencionamos es Mytob.A, que se propaga a través
del correo electrónico, en un mensaje de características variables y escrito en
inglés, así como a través de Internet. En este caso, atacará direcciones IP
aleatorias, en las que tratará de explotar la vulnerabilidad LSASS.
Mytob se conecta a un servidor IRC y espera órdenes de control remoto, que
llevar a cabo en el ordenador afectado. Además, elimina algunas de las
variantes de otros gusanos como, por ejemplo, Netsky, Sobig, Bagle y Blaster.
El siguiente código malicioso que analizamos es el troyano Tofger.AT,
que es descargado en el PC al acceder a determinadas páginas web, que utilizan
diversos exploits -como LoadImage, ByteVerify y MhtRedir.gen-, para descargar
malware en los equipos. Este troyano se instala como Browser Helper Object (BHO),
de forma que es ejecutado cada vez que se abre el navegador Internet Explorer.
Tofger.AT hace un seguimiento de las acciones que llevan a cabo los usuarios y
de las contraseñas utilizadas en las páginas con conexiones seguras https, que
suelen ser las que se emplean para validarse en sistemas seguros como entidades
bancarias. Además, siempre que detecte determinados nombres en la url también
intentará capturar las passwords de los siguientes bancos: cajamadrid, bpinet,
millenniumbcp, hsbc, barclays, lloydstsb, halifax, autorize, bankofamerica;
bancodevalencia, cajamar, portal.ccm, bancaja, caixagalicia, caixapenedes,
ebankinter, caixasabadell, bes, banif, millenniumbcp, totta, bancomais,
montepiogeral, bpinet, patagon, lacaixa, citibank, bbvanet, banesto, e-trade y
unicaja. Tras recoger la información, Tofger.AT la envía a un servidor. |