Lunes, 12 de marzo de 2007
Virus Alerts, por Panda Software

Los troyanos ShotOne y Yabarasu, la familia de gusanos Rinbot y el virus Expiro.A protagonizan el
informe de Pandalabs de esta semana.

El troyano ShotOne est? dise?ado para causar un gran n?mero de problemas en los ordenadores que infecta. Para ello, crea una larga
lista de modificaciones en el registro del sistema. Entre otros fallos impide que Windows se actualice o que se pueda acceder al
men? Archivo tanto en Internet Explorer como en el Explorador de Windows. Tampoco permite que se muestren las propiedades de ?Mis
Documentos? y ?Mi PC?.

ShotOne tambi?n deshabilita algunas funciones como los men?s que aparecen al pinchar con el bot?n derecho en la barra de tareas o el
bot?n de inicio. Adem?s, oculta todos los iconos del ?rea de Notificaci?n e impide acceder a las opciones ?ejecutar? y ?buscar? del
men? Inicio

Este troyano se ejecuta con cada inicio del sistema. Cuando lo hace, comienza a mostrar una serie de pantallas en el monitor, de
forma que sea imposible utilizar esa m?quina. Adem?s, reinicia el ordenador infectado cada tres horas, si ?ste est? encendido.

PandaLabs ha creado un video que muestra alguno de los fallos causados por este malware. Puede verse en esta direcci?n:
http://www.pandasoftware.com/img/enc/ShotOne.wmv

El segundo troyano del informe es Yabarasu. Este c?digo malicioso se ejecuta cada vez que se reinicia el sistema, mostrando una
pantalla con un texto en ingl?s.

Yabarasu se copia en el sistema. Para enga?ar al usuario, oculta la extensi?n de todos los archivos y el tooltip (el recuadro de
informaci?n que aparece en Windows al poner el cursor sobre un archivo). Adem?s, Yabarasu oculta todas las carpetas que el usuario
tenga en la unidad C: y las sustituye por una copia de s? mismo con el mismo nombre e icono que las originales. De este modo, las
copias del troyano parecen archivos leg?timos. Cuando el usuario abra uno de esos archivos, realmente estar? ejecutando el troyano.

Tanto ShotOne como Yabarasu pueden llegar a los ordenadores en correos electr?nicos, en archivos descargados, copiados en
dispositivos infectados, etc.

Esta semana PandaLabs ha detectado diferentes variantes de la familia de gusanos Rinbot, concretamente: Rinbot.B, Rinbot.F, Rinbot.G
y Rinbot.H. Para propagarse, estos gusanos se copian en las unidades mapeadas y en los recursos compartidos de la red. Tambi?n se
copian en los dispositivos USB (reproductores MP3, m?viles, llaves de memoria...) que encuentren conectados a la m?quina.

Algunas de las variantes, adem?s, aprovechan vulnerabilidades existentes en ciertos programas para propagarse. As?, Rinbot.B
aprovecha las vulnerabilidades LSASS y RPC DCOM para llegar a los ordenadores. Las actualizaciones para estos agujeros est?n
disponibles desde hace tiempo.

Rinbot.G, por su parte, aprovecha un fallo en SQL Server para autentificarse como usuario. Una vez llega a un ordenador, este gusano
descarga una copia de s? mismo v?a TFTP. Luego, se ejecuta en el sistema.

Rinbot.H tambi?n aprovecha una vulnerabilidad para propagarse. En su caso, busca servidores que presenten la vulnerabilidad
MS01-032, resuelta en el parche de Microsoft del mismo nombre.

Los gusanos Rinbot est?n dise?ados para abrir un puerto en el ordenador infectado y conectarse a un servidor IRC. As?, el atacante
podr? controlar ese ordenador de manera remota.

Tambi?n se descargan de Internet el troyano Spammer.ZV. Este troyano est? dise?ado para enviar spam de manera masiva. Para ello,
busca en el ordenador direcciones de correo electr?nico a las que enviar los correos basura. Por ?ltimo, modifica la configuraci?n
de seguridad de Internet Explorer y los permisos del sistema, lo que reduce el nivel de seguridad del ordenador.

Un aspecto curioso es que en el c?digo del gusano Rinbot.B aparece el texto de una supuesta entrevista realizada por la CNN al autor
o autores de esta familia de gusanos. En ella, explica los motivos por los que, seg?n ?l, ha creado este malware. Puede leerla aqu?.

?Este es uno de los aspectos m?s destacados de la nueva din?mica del malware. Los creadores de malware aumentan las posibilidades de
infecci?n lanzando un gran n?mero de variantes en poco tiempo. Adem?s, de esta manera evitan causar alarma social, lo que har?a que
los usuarios se protegiesen mejor. Algo que no interesa a esos ciber-delincuentes?, explica Luis Corrons.

Expiro.A cierra el informe de esta semana. Se trata de un virus que infecta archivos ejecutables (.exe) que se encuentren en el
directorio Archivos de programa / Program Files y sus subdirectorios. Tambi?n infecta el directorio en el que se encuentre la copia
del virus.

Cuando el usuario abre un archivo infectado, primero se ejecuta el virus y a continuaci?n el archivo legal. De esta forma se intenta
confundir al usuario, que no detecta ning?n s?ntoma visible de que haya sido infectado.

Expiro.A detiene sus procesos si sospecha que est? siendo analizado por alguna soluci?n de seguridad. Adem?s, varias secciones del
c?digo malicioso est?n cifradas. El objetivo es el mismo: evitar ser detectado.

Todos aquellos usuarios que deseen comprobar si su ordenador ha sido atacado por estos u otros c?digos maliciosos pueden hacer uso,
de manera completamente gratuita, de la soluci?n online Panda ActiveScan en http://www.pandasoftware.es/activescan.

Tambi?n pueden hacer uso de NanoScan beta (www.nanoscan.com), un esc?ner online que detecta todo el malware activo en un ordenador
en menos de un minuto.

M?s informaci?n sobre estas u otras amenazas inform?ticas en la Enciclopedia de Panda Software.




::: FUENTE: "PANDA SOFTWARE" :::
www.pandasoftware.es

::: "Zameex M?xico" :::
www.zameex.cjb.net | www.zameexBLOG.cjb.net
Publicado por zameex @ 9:22 AM  | [email protected]
Comentarios (0)  | Enviar
Comentarios