S?bado, 12 de mayo de 2007
Tres troyanos, Alanchum.VL, Downloader.OHC y Cimuz.FH, y un gusano que se propaga a trav?s de
mensajer?a instant?nea, MSNDiablo.A, centran este informe semanal de PandaLabs.

El troyano Alanchum.VL ha sido el malware m?s destacado de la semana. Este c?digo malicioso lleg? a suponer el 62% de los avisos de
malware en circulaci?n recibidos por hora en PandaLabs.

?Como la mayor?a de troyanos de esta familia, Alanchum.VL utiliza t?cnicas de ingenier?a social para distribuirse. Para ello,
emplean asuntos noticiosos (una variante muy extendida de Alanchum utiliz? como reclamo la supuesta muerte de Fidel Castro) o
atractivos (productos gratuitos, pornograf?a, etc.) que inciten al usuario a abrir el archivo infectado con el malware?, explica
Luis Corrons.

Alanchum.VL est? dise?ado para descargar otro troyano, Cimuz.BE, en el ordenador. ?ste se encargar? de registrar las p?ginas web que
visite el usuario. Cuando visite alguna cuyo contenido pueda ser ?rentable? (bancos, p?ginas de webmail, formularios online de
cualquier tipo,?), Cimuz.BE capturar? la informaci?n introducida por el usuario y se la enviar? a su creador.

Precisamente, una nueva variante de Cimuz ha sido detectada esta semana por PandaLabs. Se trata de Cimuz.FH. Este troyano suelta una
DLL en el navegador y la registra como un BHO (Browser Helper Object u objeto de ayuda para el navegador). Esto le permite descargar
actualizaciones de su c?digo desde Internet sin que el usuario se d? cuenta.

Adem?s, Cimuz.FH roba datos del ordenador del usuario (IP, claves,?). Esos datos son almacenados en un fichero que crea el propio
troyano y que luego env?a a su creador conect?ndose a un servidor v?a HTTP.

El tercer troyano de este informe es Downloader.OHC. ?En realidad, casi podr?a decirse que se trata de tres malware en uno, ya que
lo primero que hace cuando infecta un ordenador es descargar otros dos c?digos maliciosos?, comenta Luis Corrons.

Esos dos c?digos maliciosos son el virus Grum.D.drp y el spyware AdClicker. Adem?s, descarga un fichero PHP utilizado para enviar
informaci?n mediante una consulta HTTP GET.

Grum.D,drp integra un servidor de correo que puede ser utilizado para enviar spam. Adem?s, se conecta a otro servidor online del
cu?l puede recibir plantillas de spam, actualizaciones de su c?digo, etc.

El spyware AdClicker, por su parte, realiza varias modificaciones en el registro de Windows y en las DLL del sistema. Adem?s, se
conecta a cierta URL desde la que descarga m?s malware en el ordenador infectado.

?Downloader.OHC es un buen ejemplo del intento de muchos creadores de malware de rentabilizar sus infecciones. Basta con hacer
llegar un solo c?digo malicioso para aumentar las posibilidades de ?xito, en este caso, descargando en el ordenador m?s ejemplares
de malware que lleven a cabo multitud de acciones maliciosas distintas?, afirma Luis Corrons.

El gusano MSNDiablo.A utiliza t?cnicas de ingenier?a social para propagarse a trav?s del programa de mensajer?a instant?nea MSN
Messenger.

En este caso, para enga?ar a los usuarios, el gusano env?a un mensaje a todos los contactos del usuario que est?n conectados a MSN
Messenger. Este mensaje comenta una supuesta divertida animaci?n e invita a los contactos a visualizarla pinchando en un link.
Cuando los usuarios se descargan y ejecutan la animaci?n desde esa URL, lo que realmente hacen es introducir en su m?quina a
MSNDiablo.A.

Cuando infecta una nueva m?quina, este gusano vuelve a repetir la operaci?n, enviando el mismo texto por mensajer?a instant?nea a
todos los contactos conectados en ese momento. MSNDiablo.A intenta conectarse a distintas URL desde las que puede descargarse
distintos tipos de archivo, incluido malware. Tambi?n est? dise?ado para realizar varias modificaciones en el registro de Windows.
Una de ellas le permite ejecutarse con cada inicio de sesi?n.

Cuando se ejecuta, MSNDiablo.A muestra un mensaje de error. Adem?s, impide la apertura del administrador de tareas y del editor de
registro de Windows.

Adem?s, esta semana Microsoft ha publicado siete parches de seguridad, del MS07-023 al MS07-029. Todos ellos resuelven fallos que
han sido clasificados como cr?ticos y que podr?an permitir la ejecuci?n de c?digo remoto.

Las vulnerabilidades afectan a Microsoft Office, Microsoft Windows y CAPICOM. Todos estos parches se encuentran disponibles en la
direcci?n http://www.microsoft.com/spain/athome/security/update/bulletins/200705.mspx

Los usuarios que deseen comprobar si alg?n c?digo malicioso ha atacado su ordenador pueden utilizar, de manera completamente
gratuita, las soluciones online TotalScan o NanoScan beta, que se encuentran disponibles en la direcci?n www.infectedornot.com



::: FUENTE: "PANDA SOFTWARE" :::
www.pandasoftware.es

::: "Zameex M?xico" :::
www.zameex.cjb.net | www.zameexBLOG.cjb.net
Publicado por zameex @ 10:07 AM  | [email protected]
Comentarios (0)  | Enviar
Comentarios