Esta semana millones de mensajes de correo electrónico infectados con
Sober.AH se encontraban en circulación, siendo una de las amenazas más
frecuentemente detectadas por Panda ActiveScan, solución antivirus online y
gratuita de Panda Software. Entre las razones que explican su amplia difusión
destaca la utilización, por parte de su autor, de técnicas de ingeniería social
para atraer la atención del usuario y conseguir que éste abra el archivo que
contiene al gusano. Entre los "ganchos" que utiliza la variante AH de Sober -en
los e-mails en los que se envía- se encuentran textos alusivos a fotografías y
vídeos de las actrices Paris Hilton y Nicole Richie, y otros que simulan ser
comunicaciones del FBI o de la CIA que advierten de que se ha accedido a
direcciones ilegales de Internet.
Sober.AH se propaga a través del correo electrónico, en mensajes de
características variables que contienen un archivo comprimido en formato ZIP.
Cuando el usuario ejecuta el citado fichero, este gusano afecta al PC, en el
que muestra una ventana con un falso mensaje de error. Los textos que aparecen
en los e-mails en los que se manda están escritos en alemán si la extensión del
dominio de la dirección a la que se envían es: de (Alemania), ch (Suiza), at
(Austria) o li (Liechtenstein). Si la dirección no contiene ninguna de las
referidas extensiones, los textos estarán en inglés.
Sober.AH finaliza varios procesos, de los cuales algunos pertenecen a diversas
herramientas de seguridad, en cuyo caso muestra el mensaje: "No viruses,
Trojans or Spyware found! Status OK" ("No se han encontrado virus, troyanos o
spyware. Estado OK"). Además, en el equipo al que afecta este gusano crea
varios archivos, entre los que se encuentran SERVICES.EXE, CSRSS.EXE y SMSS.EXE,
que son copias suyas. Cuando los dos últimos están ejecutándose, los procesos
asociados a ellos aparecen como hijos del proceso perteneciente a SERVICES.EXE.
De esta manera, éste se hace pasar por un proceso legítimo de Windows, con el
objetivo de no levantar sospechas en los usuarios avanzados que consulten el
listado de procesos.
La siguiente amenaza a la que nos referimos es Mitglieder.GB, troyano que el
jueves empezó a propagarse rápidamente, especialmente en Europa, y superó a
Sober.AH en el ranking de las amenazas más frecuentemente detectadas por Panda
ActiveScan.
Mitglieder.GB no posee medios propios de propagación, por lo que debe ser
distribuido de forma manual. Las muestras recibidas provienen de correos
electrónicos con un asunto y cuerpo variables que incluyen un fichero -en
formato ZIP-, que contiene una copia suya. Cuando este troyano es ejecutado,
abre el visor de imágenes predeterminado de Windows y muestra una imagen con el
logotipo del citado sistema operativo. Tras su instalación en un equipo, cada
cuatro horas Mitglieder.GB intenta descargar, a través de un script PHP y desde
distintas páginas web, un archivo.
El segundo gusano que mencionamos en el informe es Mops.A, que se propaga a
través de los programas de mensajería instantánea Yahoo Messenger y AOL Instant
Messenger. Para ello, se envía en mensajes que contienen un enlace. Si el
usuario pincha sobre él, se descarga un archivo RAR auto-extraíble, que
contiene varios ficheros que pertenecen a Mops.A, al gusano Sdbot.FAR y a una
barra de herramientas para Internet Explorer.
Finalizamos el presente informe con SpyMon, que pertenece a la categoría de
programa potencialmente no deseado y permite controlar -de forma remota- otros
ordenadores. En la práctica, permite realizar varias acciones en los equipos
que quedan bajo su control, como registrar las pulsaciones de teclado
introducidas por el usuario, visualizar los procesos que están en ejecución y
realizar capturas de pantalla. |