Dos gusanos -Bagle.BN y Mytob.A- y dos troyanos -Mitglieder.BO, y Tofger.AT- protagonizaron la actividad vírica durante la semana pasada


	<ilayer src="http://banners.noticiasdot.com/publicidad/banner-superior.htm" width="468" height="60" border="0" frameborder="0" scrolling="no"> </ilayer>


Mundo Digital

Noticias relacionadas

Para propagarse al mayor número de equipos posible, Bagle.BN y Mitglieder.BO colaboran estrechamente. Así, Mitglieder.BO llega a los equipos en un mensaje de correo electrónico, en forma de un fichero adjunto que puede tener nombres como price.zip o price2.zip, entre otros. Si el usuario ejecuta el archivo, el troyano se activará y tratará de conectarse a una dirección de Internet, desde la que descargar al gusano Bagle.BN en el sistema. Una vez que Bagle.BN se instala en el ordenador, se encarga de enviar a Mitglieder.BO a las direcciones que se encuentran en un fichero llamado EML.EXE, que también es descargado desde Internet. Para ello, el gusano utiliza su propio motor SMTP.

Mitglieder.BO finaliza los procesos pertenecientes a diversos programas antivirus y de seguridad, y sobrescribe el fichero de "hosts" de Windows, para impedir que los usuarios puedan conectarse a determinadas páginas web.

Bagle.BN, por su parte, abre el puerto TCP 80 y permanece a la escucha, a la espera de que se realice una conexión remota. A través de ella, permite el acceso remoto al ordenador afectado, para realizar en él acciones que comprometen la confidencialidad de los datos del usuario, o dificultan su trabajo.

El segundo gusano que mencionamos es Mytob.A, que se propaga a través del correo electrónico, en un mensaje de características variables y escrito en inglés, así como a través de Internet. En este caso, atacará direcciones IP aleatorias, en las que tratará de explotar la vulnerabilidad LSASS.

Mytob se conecta a un servidor IRC y espera órdenes de control remoto, que llevar a cabo en el ordenador afectado. Además, elimina algunas de las variantes de otros gusanos como, por ejemplo, Netsky, Sobig, Bagle y Blaster.

El siguiente código malicioso que analizamos es el troyano Tofger.AT, que es descargado en el PC al acceder a determinadas páginas web, que utilizan diversos exploits -como LoadImage, ByteVerify y MhtRedir.gen-, para descargar malware en los equipos. Este troyano se instala como Browser Helper Object (BHO), de forma que es ejecutado cada vez que se abre el navegador Internet Explorer.

Tofger.AT hace un seguimiento de las acciones que llevan a cabo los usuarios y de las contraseñas utilizadas en las páginas con conexiones seguras https, que suelen ser las que se emplean para validarse en sistemas seguros como entidades bancarias. Además, siempre que detecte determinados nombres en la url también intentará capturar las passwords de los siguientes bancos: cajamadrid, bpinet, millenniumbcp, hsbc, barclays, lloydstsb, halifax, autorize, bankofamerica; bancodevalencia, cajamar, portal.ccm, bancaja, caixagalicia, caixapenedes, ebankinter, caixasabadell, bes, banif, millenniumbcp, totta, bancomais, montepiogeral, bpinet, patagon, lacaixa, citibank, bbvanet, banesto, e-trade y unicaja. Tras recoger la información, Tofger.AT la envía a un servidor.

Enlaces relacionados

sábado, 24 mayo 2014

Ahora puedes dar tu opinión o aportar tus propios comentarios en los FOROS DE NOTICIASDOT.COM

Busca en Internet

Noticiasdot.com Edita : Noticias Digitales SL - Editor ejecutivo y Director: Angel Cortés
Noticiasdot.com	Stilo	Cine	Viajes	Gadgetmania
Empleo	Más 18	RSS	Suscripciones
Direcciones de correo electrónico: Redacción - Información - Anunciate en Noticiasdot.com: Publicidad - ¿Quienes somos?
Con el patrocinio de FRANQUICIA LASER GAME - QUASAR ELITE Laser Gam