INFOTECHNO

Bienvenidos a INFOTECHNO!! Un sitio de tecnologia dedicado a informar.

Informe semanal sobre virus e intrusos

Posted by infotechno en mayo 14, 2007

Los troyanos Alanchum.VL, Downloader.OHC y Cimuz.FH, y un gusano que se propaga a través de mensajería instantánea,  El troyano Alanchum.VL ha sido el más destacado de la semana,  y  llegó a suponer el 62% de los avisos de malware en circulación recibidos por hora en PandaLabs. “Como la mayoría de troyanos de esta familia, Alanchum.VL utiliza técnicas de ingeniería social para distribuirse. Para ello, emplean asuntos noticiosos (una variante muy extendida de Alanchum utilizó como reclamo la supuesta muerte de Fidel Castro) o atractivos (productos gratuitos, pornografía, etc.) que inciten al usuario a abrir el archivo infectado con el malware”, explica Luis Corrons, Director Técnico de PandaLabs. Está diseñado para descargar el troyano Cimuz.BE en el computador, que se encarga de registrar las páginas Web que visite el usuario. Cuando alguna tenga un contenido que pueda ser “rentable” (bancos, páginas de webmail o formularios online) Cimuz.BE captura la información introducida por el usuario y se la envia a su creador. 

Cimuz, a su vez, tiene una nueva variante, Cimuz.FH. Este troyano suelta una DLL en el navegador y la registra como un BHO (Browser Helper Object u objeto de ayuda para el navegador). Esto le permite descargar actualizaciones de su código desde Internet sin que el usuario se dé cuenta. Además, roba datos del computador del usuario que son almacenados en un archivo que crea el propio troyano y que luego envía a su creador conectándose a un servidor vía HTTP. 

Downloader.OHC es el tercer troyano de este informe. “En realidad, casi podría decirse que se trata de tres malware en uno, ya que lo primero que hace cuando infecta un computador es descargar otros dos códigos maliciosos”, comenta Luis Corrons. Esos dos códigos maliciosos son el virus Grum.D.drp y el spyware AdClicker. Además, descarga un archivo PHP utilizado para enviar información mediante una consulta HTTP GET. 

Grum.D.drp integra un servidor de correo que puede ser utilizado para enviar spam. Además, se conecta a otro servidor en línea del cuál puede recibir plantillas de spam, actualizaciones de su código, etc. El spyware AdClicker, por su parte, realiza varias modificaciones en el registro de Windows y en las DLL del sistema. Además, se conecta a cierta URL desde la que descarga más malware en el computador infectado. 

Downloader.OHC es un buen ejemplo del intento de muchos creadores de malware de rentabilizar sus infecciones. Basta con hacer llegar un solo código malicioso para aumentar las posibilidades de éxito, en este caso, descargando en el computador más ejemplares de malware que lleven a cabo multitud de acciones maliciosas distintas”, afirma Luis Corrons. 

MSNDiablo.A es un gusano que utiliza técnicas de ingeniería social para propagarse a través del programa de mensajería instantánea MSN Messenger. En este caso, para engañar a los usuarios, el gusano envía un mensaje a todos los contactos del usuario que estén conectados a MSN Messenger. Este mensaje comenta una supuesta divertida animación e invita a los contactos a visualizarla pinchando en un link. Cuando los usuarios se descargan y ejecutan la animación desde esa URL, lo que realmente hacen es introducir el gusano en su máquina. Cuando infecta una nueva máquina, este gusano vuelve a repetir la operación, enviando el mismo texto por mensajería instantánea a todos los contactos conectados en ese momento. 

MSNDiablo.A intenta conectarse a distintas URL desde las que puede descargarse distintos tipos de archivo, incluido malware. También está diseñado para realizar varias modificaciones en el registro de Windows. Una de ellas le permite ejecutarse con cada inicio de sesión. Cuando se ejecuta muestra un mensaje de error. Además, impide la apertura del administrador de tareas y del editor de registro de Windows. 

Esta semana, Microsoft ha publicado siete parches de seguridad, del MS07-023 al MS07-029. Todos ellos resuelven fallos que han sido clasificados como críticos y que podrían permitir la ejecución de código remoto. Las vulnerabilidades afectan a Microsoft Office, Microsoft Windows y CAPICOM. 

Cortesía de: Evaluamos

Sorry, the comment form is closed at this time.

 
A %d blogueros les gusta esto: