Lunes, 02 de abril de 2007
El informe de PandaLabs de esta semana da informaci?n sobre dos troyanos, Therat.B y Alanchum.UG, un
backdoor Redirection.A y un gusano, TellSky.A.

Therat.B puede llegar a los ordenadores en correos electr?nicos, como parte de descargas, etc. Es un troyano keylogger, que, como
todos los de este tipo, est? dise?ado para registrar las teclas pulsadas por los usuarios. Adem?s, Therat.B cuenta con una
funcionalidad que lo hace muy peligroso: es capaz de robar las contrase?as que est?n almacenadas en la funci?n ?autocompletar? del
navegador de Internet del usuario.

La funci?n ?autocompletar? permite que, introduciendo s?lo uno o dos caracteres de un nombre de usuario o contrase?a en un
formulario web, el sistema complete el resto de manera autom?tica. El objetivo de Therat.B es hacerse con nombres de usuario,
contrase?as, direcciones de p?ginas web, etc. A continuaci?n, el troyano env?a esa informaci?n a su creador a trav?s de correo
electr?nico.

Therat.B realiza ciertas modificaciones en el sistema para ejecutarse cada vez que ?ste se inicia.

?Este es un claro ejemplo de la uni?n de diversas funcionalidades en un s?lo malware. En este caso, se han reunido distintas formas
de robar datos confidenciales en un ?nico troyano. As?, en cada infecci?n lograda los ciber-delincuentes exploran diversas formas de
robo, aumentando sus posibilidades de ?xito?, explica Luis Corrons, Director T?cnico de PandaLabs.

Alanchum.UG es un nuevo ejemplar de la familia Alanchum, una de las m?s activas de los ?ltimos meses. Esta variante, en concreto,
llega a los ordenadores descargada por otros c?digos maliciosos, como el adware CWS.

Mediante una modificaci?n en el registro de Windows, consigue ejecutarse con cada reinicio del sistema. Alanchum.UG est? dise?ado
para enviar spam de forma masiva. Para ello, roba todas las direcciones de correo electr?nico que encuentra en los ordenadores que
infecta. Luego, almacena todas esas direcciones en una p?gina web.

Para dificultar su detecci?n, este troyano cuenta con funcionalidades rootkit, que le permiten ocultar sus procesos.

Redirection.A es el tercer c?digo malicioso del informe. Como todos los ejemplares de backdoor, abre una puerta trasera en el
ordenador infectado. En este caso, para conectarse a un servidor IRC y permitir el control del ordenador afectado.

Este malware lleva a cabo otras acciones maliciosas. As?, intenta obtener informaci?n del sistema infectado (IP, caracter?sticas,?).
Adem?s, activa un servidor FTP para permitir la descarga y ejecuci?n de otros ficheros maliciosos en el ordenador afectado.

Redirection.A, adem?s, est? dise?ado para escanear rangos de IP en busca de ordenadores que tengan instalados el programa VNC. Este
programa permite controlar un ordenador de manera remota. Si encuentra alg?n sistema con este software instalado, Redirection.A
aprovechar? sus caracter?sticas para instalarse tambi?n en ese sistema.

Este backdoor tambi?n es capaz de desinstalarse a s? mismo. Para ello, borra las entradas m?s relevantes que haya creado en el
registro del sistema. De esta manera, oculta su presencia y hace m?s dif?cil su detecci?n.

El gusano TellSky.A cierra el informe. Este malware se copia en el disco duro con nombres como Girl.exe o Downloader.exe, entre
otros. Adem?s, realiza varias modificaciones en el registro de Windows para ejecutarse con cada reinicio.

La primera vez que se ejecuta, este gusano muestra un mensaje de error. Dicho mensaje es un modo de distraer al usuario, ya que, a
la vez, TellSky.A est? realizando varias acciones maliciosas. Entre ellas, impide el correcto funcionamiento de las soluciones de
seguridad instaladas en los ordenadores infectados. Luego, intenta conectarse a una p?gina web, desde la que podr?a descargarse
otros archivos.

TellSky.A deshabilita varias funciones del sistema como la opci?n Ejecutar, del men? Inicio, o las opciones de carpeta. La mayor?a
de estas modificaciones est?n destinadas a reducir la seguridad o a bloquear funciones que podr?an emplearse para localizarlo.





::: FUENTE: "PANDA SOFTWARE " :::
www.pandasoftware.es

::: "Zameex M?xico" :::
www.zameex.cjb.net | www.zameexBLOG.cjb.net
Publicado por zameex @ 8:17 AM  | [email protected]
Comentarios (0)  | Enviar
Comentarios