En un corto intervalo de tiempo, PandaLabs ha detectado la
aparición de cuatro nuevos gusanos relacionados con la epidemia provocada por
los gusanos Mydoom: Nachi.B (W32/Nachi.B.worm), DoomHunter.A (W32/DoomHunter.A.worm),
Deadhat.B (W32/Deadhat.B.worm) y Mitglieder.A (W32/Mitglieder.A.worm).
Nachi.B es una nueva variante del famoso código malicioso que se propagó en
agosto de 2003. Al igual que el gusano original es, aparentemente, una especie
de "Robin Hood" que se dedica a limpiar equipos infectados por otros virus. Así,
Nachi.B elimina a Mydoom.A y Mydoom.B de los equipos en los que se instala,
aunque no lo hace de manera gratuita, ya que, para propagarse, hace uso de los
siguientes agujeros de seguridad del sistema operativo Windows:
- Desbordamiento de buffer en RPC DCOM (MS03-26)
- IIS WebDav (MS03-07)
- Desbordamiento de buffer en servicio de estación de trabajo (MS03-049)
Nachi.B se propaga directamente a través de Internet en busca de equipos
cuyos puertos TCP/IP 80, 135 y 445 se encuentren desprotegidos. Cuando localiza
a su víctima el gusano lanza el ataque, descargando una copia de sí mismo en el
sistema con el nombre WskPatch.exe. Ésta se ejecuta automáticamente, creando el
archivo Svchost.exe que contiene otra copia del código de Nachi.B.
Además, en caso de que el sistema se encuentre afectado por cualquiera de los
gusanos Mydoom, Nachi.B desinstala los archivos asociados a ellos, y borra las
entradas que hayan creado en el registro de Windows.
En cambio, DoomHunter.A si que parece haber sido diseñado con un objetivo
más altruista, ya que este código malicioso no solamente elimina a Mydoom.A y
Mydoom.B sino también a los gusanos Blaster y Doomjuice.
DoomHunter.A se introduce en los equipos a través de la puerta trasera creada
por Mydoom y crea el archivo llamado worm.exe. En caso de detectar la presencia
de alguno de los virus mencionados, borra cualquier rastro de ellos. Además,
abre el puerto TCP 3127, permaneciendo a la escucha. En caso de que no logre
abrirlo, lo seguirá intentando cada 5 segundos. De esa manera, si durante la
escucha detecta algún intento de "llamada", automáticamente se enviará al equipo
"llamante" para ejecutarse en él.
Deadhat.B, es una versión mejorada del gusano que hizo su aparición hace
unos pocos días. Para propagarse, entra directamente a través de Internet
utilizando la puerta trasera que Mydoom.A y Mydoom.B instalan en los
ordenadores. Sin embargo, también puede utilizar el programa para compartir
archivos SoulSeek.
Una vez dentro del equipo, Deadhat.B crea un archivo con una copia de sí mismo
con el nombre msgsvr32.exe y genera varios ficheros con nombres variables en el
directorio de archivos compartidos de SoulSeek, siempre que éste último se
encuentre instalado en el sistema.
Tras ello, cierra cualquier proceso en memoria relacionado con los gusanos
Mydoom.A o Mydoom.B, además de otros correspondientes a aplicaciones comunes,
entre las que se encuentran varios programas antivirus y de seguridad.
Finalmente, crea una entrada en el registro de Windows con el objeto de asegurar
su ejecución cada vez que se reinicie el ordenador.
Bajo determinadas circunstancias, Deadhat.B puede borrar archivos esenciales
para el funcionamiento del sistema. Además, se conecta a un canal de IRC a la
espera de recibir órdenes de su creador para llevar a cabo nuevas acciones
maliciosas.
Finalmente, Mitglieder.A también se introduce en los sistemas a través de la
puerta trasera creada por los gusanos Mydoom, copiándose en el ordenador en un
archivo con el nombre system.exe. Está diseñado para detener los procesos en
memoria de diversos programas y asegura su presencia permanente en el equipo
mediante una nueva entrada en el registro de Windows.
Dado que Nachi.B, DoomHunter.A, Deadhat.B y Mitglieder.A ya han causado algunas
incidencias, según los datos de la red internacional de Soporte Técnico de Panda
Software, la multinacional aconseja extremar las precauciones y actualizar lo
antes posible las soluciones antivirus.
|