FOROS DE INFORMATICA
Noticias: Realizada migración del foro, si tienen problemas con alguna imagen reportar al administrador
 
*
Bienvenido(a), Visitante. Por favor, ingresa o regístrate.
¿Perdiste tu email de activación?
Diciembre 04, 2020, 03:30:57


Ingresar con nombre de usuario, contraseña y duración de la sesión


Páginas: [1]
  Imprimir  
Autor Tema: Informe semanal de Panda Software sobre virus e intrusos  (Leído 2360 veces)
Javi
Nuevo
*

Karma:0
Desconectado Desconectado

Mensajes: 34


« : Mayo 12, 2007, 05:28:59 »

Tres troyanos, Alanchum.VL, Downloader.OHC y Cimuz.FH, y un gusano que se propaga a través de mensajería instantánea, MSNDiablo.A, centran este informe semanal de PandaLabs.

(DT, AGENCIAS) El troyano Alanchum.VL ha sido el malware más destacado de la semana. Este código malicioso llegó a suponer el 62% de los avisos de malware en circulación recibidos por hora en PandaLabs.

“Como la mayoría de troyanos de esta familia, Alanchum.VL utiliza técnicas de ingeniería social para distribuirse. Para ello, emplean asuntos noticiosos (una variante muy extendida de Alanchum utilizó como reclamo la supuesta muerte de Fidel Castro) o atractivos (productos gratuitos, pornografía, etc.) que inciten al usuario a abrir el archivo infectado con el malware”, explica Luis Corrons.

Alanchum.VL está diseñado para descargar otro troyano, Cimuz.BE, en el computador. Éste se encargará de registrar las páginas web que visite el usuario. Cuando visite alguna cuyo contenido pueda ser “rentable” (bancos, páginas de webmail, formularios online de cualquier tipo,…), Cimuz.BE capturará la información introducida por el usuario y se la enviará a su creador.

Precisamente, una nueva variante de Cimuz ha sido detectada esta semana por PandaLabs. Se trata de Cimuz.FH. Este troyano suelta una DLL en el navegador y la registra como un BHO (Browser Helper Object u objeto de ayuda para el navegador). Esto le permite descargar actualizaciones de su código desde Internet sin que el usuario se dé cuenta.

Además, Cimuz.FH roba datos del computador del usuario (IP, claves,…). Esos datos son almacenados en un fichero que crea el propio troyano y que luego envía a su creador conectándose a un servidor vía HTTP.

El tercer troyano de este informe es Downloader.OHC. “En realidad, casi podría decirse que se trata de tres malware en uno, ya que lo primero que hace cuando infecta un equipo es descargar otros dos códigos maliciosos”, comenta Luis Corrons.

Esos dos códigos maliciosos son el virus Grum.D.drp y el spyware AdClicker. Además, descarga un fichero PHP utilizado para enviar información mediante una consulta HTTP GET.

Grum.D,drp integra un servidor de correo que puede ser utilizado para enviar spam. Además, se conecta a otro servidor online del cuál puede recibir plantillas de spam, actualizaciones de su código, etc.

El spyware AdClicker, por su parte, realiza varias modificaciones en el registro de Windows y en las DLL del sistema. Además, se conecta a cierta URL desde la que descarga más malware en el PC infectado.

“Downloader.OHC es un buen ejemplo del intento de muchos creadores de malware de rentabilizar sus infecciones. Basta con hacer llegar un solo código malicioso para aumentar las posibilidades de éxito, en este caso, descargando en el computador más ejemplares de malware que lleven a cabo multitud de acciones maliciosas distintas”, afirma Luis Corrons.

El gusano MSNDiablo.A utiliza técnicas de ingeniería social para propagarse a través del programa de mensajería instantánea MSN Messenger.

En este caso, para engañar a los usuarios, el gusano envía un mensaje a todos los contactos del usuario que estén conectados a MSN Messenger. Este mensaje comenta una supuesta divertida animación e invita a los contactos a visualizarla pinchando en un link. Cuando los usuarios se descargan y ejecutan la animación desde esa URL, lo que realmente hacen es introducir en su máquina a MSNDiablo.A.

Cuando infecta una nueva máquina, este gusano vuelve a repetir la operación, enviando el mismo texto por mensajería instantánea a todos los contactos conectados en ese momento. MSNDiablo.A intenta conectarse a distintas URL desde las que puede descargarse distintos tipos de archivo, incluido malware. También está diseñado para realizar varias modificaciones en el registro de Windows. Una de ellas le permite ejecutarse con cada inicio de sesión.

Cuando se ejecuta, MSNDiablo.A muestra un mensaje de error. Además, impide la apertura del administrador de tareas y del editor de registro de Windows.

Además, esta semana Microsoft ha publicado siete parches de seguridad, del MS07-023 al MS07-029. Todos ellos resuelven fallos que han sido clasificados como críticos y que podrían permitir la ejecución de código remoto.

Las vulnerabilidades afectan a Microsoft Office, Microsoft Windows y CAPICOM.
« Última modificación: Mayo 15, 2007, 12:36:09 por Admin » En línea
Páginas: [1]
  Imprimir  
 
Ir a:  

Impulsado por MySQL Impulsado por PHP Powered by SMF 1.1.13 | SMF © 2006-2009, Simple Machines LLC

XHTML 1.0 válido! CSS válido! Dilber MC Theme by HarzeM