Viernes, 06 de abril de 2007
El informe de esta semana de PandaLabs informa sobre el peligroso ataque combinado llevado a cabo por Spamta.VK y Spamtaload.DT. El
troyano Ldpinch.AAI y el gusano Grum.A tambi?n son tratados en este informe. Por ?ltimo, se recoge la actualizaci?n de seguridad
lanzada esta semana por Microsoft.

El peligroso ataque combinado llevado a cabo por Spamta.VK y Spamtaload.DT fue una de las principales preocupaciones de la semana en
PandaLabs. El primero es un gusano dise?ado para conectarse a diversos servidores y enviar correos electr?nicos de forma masiva.
Esos correos adjuntan un archivo, generalmente un ejecutable, que esconde una copia del troyano Spamtaload.DT. Cuando este troyano
infecta un ordenador, descarga una copia del gusano Spamta.VK y el proceso vuelve a comenzar.

?Estos ataques combinados aseguran una mayor distribuci?n de los ejemplares. En este caso, las propiedades de distribuci?n del
gusano son aprovechadas para difundir un troyano. Este ataque lleg? a representar hasta el 80% de los avisos de malware en
circulaci?n recibidos por hora en PandaLabs?, explica Luis Corrons, Director T?cnico de PandaLabs.

Spamtaload.DT muestra un mensaje de error cada vez que es ejecutado. El icono del archivo que lo esconde es el de un archivo de
texto. Spamta.VK, por su parte, descarga varios ficheros maliciosos de la web. Adem?s, como ya se ha dicho, se conecta a varios
servidores para enviar correos masivos y continuar con la propagaci?n de ambos ejemplares.

Ldpinch.AAI es un troyano dise?ado para robar contrase?as de diferentes tipos de programas: clientes de correo, navegadores,
clientes FTP, etc?tera. Para ello, el troyano lee los archivos de configuraci?n y entradas del registro de esos programas.

Ldpinch.AAI tambi?n roba datos de las conexiones telef?nicas a Internet configuradas en el equipo, as? como de los procesos activos.
Toda esa informaci?n es enviada al creador del malware a trav?s de un formulario alojado en una p?gina web.

Para poder enviar toda esa informaci?n, este troyano es capaz de impedir el correcto funcionamiento de ciertos cortafuegos.

El gusano Grum.A se propaga en correos que ofrecen una beta de Internet Explorer 7. El correo presenta una imagen de gran tama?o
que, supuestamente, conduce a la descarga de esa beta. Al pinchar en ella, los usuarios se estar?n descargando este gusano.

Despu?s de que se ha ejecutado y copiado en la memoria, el gusano borra el archivo original. Este gusano infecta documentos
ejecutables (.exe). Adem?s, crea copias de esos ficheros con el mismo nombre y la extensi?n ?.rgn?, para dificultar m?s su
eliminaci?n del sistema.

Una funcionalidad peligrosa de Grum.A es la de ocultar sus procesos con funcionalidades rootkit. Esto dificulta su detecci?n por
parte de las soluciones de seguridad. Adem?s, para ocultarse a?n m?s, este gusano intercepta distintas DLLs del sistema, y se copia
en otras (system.dll, ntdll.dll, kernel32.dll, etc.) para ocultar sus acciones maliciosas.

Grum.A tambi?n est? dise?ado para abrir una puerta trasera en los ordenadores infectados. De esta manera, un atacante puede acceder
y controlar esa m?quina de manera remota. Adem?s, este gusano se conecta a una direcci?n web para descargar una actualizaci?n de s?
mismo.

Esta semana, adem?s, Microsoft ha publicado un parche de seguridad para resolver la vulnerabilidad en los archivos de cursores
animados (.ANI). Esta vulnerabilidad afecta a Windows Vista, XP y Server 2003.

La vulnerabilidad se aprovecha mediante una p?gina web especialmente creada para ello. Los atacantes han de convencer al usuario de
que visite esa p?gina para poder aprovechar el fallo en el sistema. Una vez lo hayan logrado, podr?n controlar el ordenador afectado
de manera remota con los mismos privilegios que el usuario que haya iniciado la sesi?n. Esto es especialmente peligroso si el
usuario tiene privilegios de administrador. En este caso, los atacantes gozar?n de un control total del ordenador.



::: FUENTE: "PANDA SOFTWARE" :::
www.pandasoftware.es

::: "Zameex M?xico" :::
www.zameex.cjb.net | www.zameexBLOG.cjb.net
Publicado por zameex @ 10:16 AM  | [email protected]
Comentarios (0)  | Enviar
Comentarios