Martes, 24 de abril de 2007
El informe de esta semana ofrece informaci?n sobre el troyano Artesimda y el gusano Rinbot.Q, que aprovecha diversas
vulnerabilidades para propagarse. Adem?s, recoge un nuevo caso de ataque combinado con ejemplares de la familia Spamta.

Ese ataque es llevado a cabo por el gusano Spamta.WF y el troyano SpamtaLoad.DW. El desarrollo es el siguiente: Cuando el troyano
infecta un ordenador, procede a descargar el gusano. ?ste, a su vez, roba todas las direcciones de correo que encuentra en ese
ordenador y les env?a un mail que contiene el troyano SpamtaLoad.DW. Entonces, este proceso vuelve a empezar.

El asunto y el contenido de los correos que env?a el gusano Spamta.WF es variable. Algunos ejemplos de asuntos son: Error, Good Day
o Hello. El fichero que contiene el troyano, por su parte, tiene nombres como body, data o doc con diversas extensiones (.msg,
.txt,?).

Ese troyano se instala en el ordenador con el icono de un archivo de texto. Sin embargo, es un ejecutable. El objetivo es incitar al
usuario a abrir ese documento y que, sin querer, lo ejecute. Cuando eso ocurre, SpamtaLoad.DW muestra un mensaje de error para
distraer al usuario.

Rinbot.Q es el segundo ejemplar del informe. Este gusano aprovecha dos vulnerabilidades en Windows (la que afecta al DNS Server y la
que afecta al proceso Local Security Authority Subsystem o LSASS) para propagarse. Cuenta con funcionalidades downloader, lo que le
permite descargar otros ejemplares de malware en el ordenador infectado. Una vez se ejecuta, este gusano comprueba si est?n
instalados ciertos programas para el control de la red. En caso afirmativo, los elimina. Tambi?n finaliza los procesos de varias
herramientas de detecci?n de rootkits. El objetivo en ambos casos es dificultar su detecci?n.

Rinbot.Q tambi?n se propaga a trav?s de unidades compartidas de red. Adem?s, crea ciertas modificaciones en el registro de Windows
para ejecutarse con cada reinicio.

Artesimda es un peligroso troyano. Cuando se ejecuta en un ordenador, crea una cuenta en Windows con un nombre de usuario
(Adminestrator) y una contrase?a propios. A continuaci?n, roba todo tipo de datos sobre los ordenadores que infecta: contrase?as de
correo electr?nico y otros programas, datos de hardware y software instalado, IP, direcciones de correo almacenadas,?

Este troyano tambi?n permite a un atacante controlar el ordenador infectado. Para ello, ejecuta un programa de administraci?n remota
en esos ordenadores. ?Como el atacante ya conoce la IP de la m?quina y cuenta con una contrase?a propia en ese ordenador, puede
acceder al equipo y modificar y robar toda la informaci?n que desee?, explica Luis Corrons, Director T?cnico de PandaLabs.

Artesimda es capaz de registrar la navegaci?n web de los usuarios y hacerse con toda la informaci?n que introduzcan en cualquier
formulario web: contrase?as bancarias, claves de correo o blogs, etc. Toda la informaci?n que roba la env?a a su creador a trav?s de
un servidor web.

Tambi?n crea ciertas modificaciones en el registro para desactivar el firewall de Windows XP y para ejecutarse con cada reinicio.
Para dificultar su detecci?n, este troyano emplea t?cnicas rootkit.

?Los creadores de malware quieren aprovechar al m?ximo cada infecci?n, por ello, incluyen en un solo ejemplar varias
funcionalidades. De esta manera, se aseguran una mayor posibilidad de ?xito a la hora de hacerse con datos confidenciales de los
usuarios?, afirma Luis Corrons.




::: FUENTE: "PANDA SOFTWARE" :::
www.pandasoftware.es

::: "Zameex M?xico" :::
www.zameex.cjb.net | www.zameexBLOG.cjb.net
Comentarios