Format.A es un troyano que se hace pasar por una herramienta
desarrollada para poder ejecutar código no firmado en las consolas PSP (PlayStation
Portable). En realidad, una vez ejecutado borra archivos fundamentales para su
buen funcionamiento. Como consecuencia de esta acción, la consola no arrancará,
quedando inutilizada. Para propagarse, Format.A se anuncia como una aplicación
que sirve para cambiar -haciendo uso de un exploit- la versión de la BIOS de las
consolas PSP a una más antigua que permite la ejecución de juegos no originales.
La actividad de los creadores de virus no cesa
Este código no es lamentable el único que ha hecho aparición esta semana. Otros
virus han empezado a esparcirse con más o menos éxito en sus objetivos entre los
usuarios. La llegada de una nueva versión de Banker y el retorno de un
clasico son las otras "novedades" de esta semana.
Banker.AXW es un troyano que controla las ventanas cuya barra de
título contiene ciertas cadenas de texto que están relacionadas principalmente
con entidades bancarias. Cuando detecta alguna de ellas, registra las
pulsaciones de teclado realizadas por el usuario, con el objetivo de robar
información confidencial, como contraseñas o nombres de usuario. Finalmente,
envía la información robada utilizando varios scripts PHP. Al igual que la
mayoría de los troyanos, Banker.AXW no tiene capacidad para propagarse por sí
mismo, sino que precisa de la intervención de un usuario malicioso. Los medios
que pueden emplearse son variados, e incluyen, entre otros, disquetes, CD-ROMs,
mensajes de correo electrónico con archivos adjuntos, descargas de Internet,
etc.
Finalmente, Sober.Y es una nueva variante de la familia de gusanos del
mismo nombre que, como sus predecesores, tiene una gran capacidad de propagación
a través de correo electrónico. De hecho, tan sólo unas horas después de su
aparición, PandaLabs comenzó a detectar incidencias en equipos de usuarios de
todo el mundo. Para evitar que Sober.Y pueda seguir propagándose, sobre todo
debido a equipos que carecen de una adecuada protección antimalware, Panda
Software ha puesto a disposición de los usuarios una aplicación gratuita
PQRemove que detecta y elimina eficazmente a este gusano de cualquier ordenador
que haya podido resultar afectado. La misma puede ser descargada desde la
dirección http://www.pandasoftware.es/descargas/utilidades/
Sober.Y utiliza para propagarse dos tipos de correos: en el primer caso, el
correo, escrito en inglés, y de asunto “Your new password”, simula ser una
confirmación de cambio de password, e invita al usuario a comprobar los datos en
un fichero adjunto, pword_change.zip. En el segundo caso, el correo está escrito
en alemán, y simula ser una foto de compañeros de colegio que se adjunta, en un
fichero KlassenFoto.zip. Ambos ficheros comprimidos, contienen al abrirlos el
ejecutable PW_Klass.Pic.packed-bitmap.exe, que no es más que una copia del
propio gusano.
Si se ejecuta dicho fichero, se muestra un falso error de CRC, pese a que su
acción ya ha comenzado. En ella, el gusano recopila todas las direcciones de un
conjunto de extensiones del ordenador afectado, y se envía a todas ellas, usando
los dos correos previamente mencionados utilizando su propio motor SMTP. Sólo
utilizará el correo escrito en alemán en el caso de que las direcciones enviadas
tengan extensión .de (Alemania), .ch (Suiza), .at (Austria), o bien .li
(Liechtenstein). |