Este troyano fue detectado automáticamente a través del motor heurístico
ThreatSense, de Eset NOD32, como una variante de Win32/IRCBot.OO, lo cual
protegió proactivamente a los usuarios del producto en todo momento contra este
código malicioso, al no precisar de una actualización para reconocer el nuevo
malware.
Esta variante en particular intenta aprovecharse de una vulnerabilidad en el
servicio Servidor de los sistemas operativos Windows 2000, XP y 2003, que fue
reportada el 8 de Agosto por Microsoft. Ese mismo día el parche para corregir el
agujero de seguridad fue publicado, pero de acuerdo a como se ha estado
detectando este troyano, se nota una gran cantidad de usuarios que aún no ha
instalado la actualización de seguridad disponible en el boletín de MS06-040:
http://www.microsoft.com/technet/security/bulletin/MS06-040.mspx
Al igual que la mayoría de las variantes de la familia IRCBot, el objetivo de
este nuevo ejemplar es la construcción de botnets, también conocidas como redes
de equipos zombis. Una botnet es una red de computadores infectados por un
malware y que puede ser administrada remotamente por el creador del código
malicioso para realizar acciones colectivas como envío de correo no solicitado
y/o ataques de denegación de servicio.
El nuevo código malicioso es muy similar al reportado en la primer semana de
Julio, propagándose a través del AOL Instant Messenger, con la particularidad de
que además explota la vulnerabilidad antes mencionada.
Esta variante de IRCBot.OO se ubica actualmente en la posición número 33 de los
códigos maliciosos más de detectados en las últimas 24 horas, de acuerdo a
nuestro sistema de alerta temprana ThreatSense.net, que ha contabilizado
detecciones de más de 6000 malware distintos en ese lapso de tiempo.
Al instalarse en un equipo infectado, el troyano se almacena en un archivo de
nombre wgareg.exe, el cual se inicia como un servicio del sistema llamado
“Windows Genuine Advantage Registration Service”, que busca hacer creer al
usuario que se trata de la herramienta anti-piratería real de Microsoft.
Tras esto, el troyano puede ser utilizado para obtener información del equipo
infectado, además de lanzar ataques distribuidos de denegación de servicios,
entre otras cosas.
Ante la gran cantidad de nuevos códigos maliciosos que aparecen a diario, es
importante que los usuarios cuenten con una protección antivirus actualizada,
que incluya capacidades de detección proactiva, a fin de estar realmente
prevenidos contra estas nuevas amenazas.
© Eset, 2006
|