MADRID: El 17 de febrero, Bagle.B empezó a propagarse a gran velocidad por todo el mundo, en un mensaje de correo electrónico escrito en inglés que incluía un fichero con el icono de los archivos de audio WAV. Este gusano es capaz de falsificar la dirección del remitente, lo que puede confundir a los usuarios -en el caso de que dicha dirección parezca fiable-, para así conseguir que abran el archivo adjunto que contiene su código.
Cuando es ejecutado, Bagle.B crea -en el directorio de sistema de Windows- el fichero AU.EXE, que realmente es una copia suya, e introduce una entrada en el registro de Windows para asegurar su ejecución cada vez que se reinicie el ordenador. También intenta conectarse a varias páginas web que albergan un script PHP, para así notificar a su creador que puede acceder al ordenador afectado a través del puerto 8866. Bagle.B sólo se ejecuta si la fecha del sistema es menor o igual al 25 de febrero de 2004.
Los dos siguientes gusanos que analizamos son Netsky.A y Netsky.B, que comparten las siguientes características:
– Se difunden a través del correo electrónico, de los programas de intercambio de ficheros punto a punto (P2P) y de redes de ordenadores.
– Borran las entradas pertenecientes a varios gusanos, entre los que se hallan Mydoom.A y Mimail.T.
– Tras ser ejecutados, muestran en pantalla un mensaje de error.
– Crean, en el directorio de Windows, el fichero SERVICES.EXE, que es una copia suya.
Entre los elementos que diferencian a la variante A de la B de Netsky se encuentran:
– Para engañar a los usuarios, Netsky.B falsifica la dirección del remitente del mensaje en el que se manda, utilizando para ello alguna de las direcciones que recoge de los ficheros existentes en el ordenador al que afecta.
– Netsky.A crea el mutex AdmMoodownJklS003, para asegurarse de que no se ejecuta varias veces al mismo tiempo.
El cuarto gusano del presente informe es Deadhat.C, que se difunde a través de Internet y del programa de intercambio de ficheros punto a punto (P2P) SoulSeek. Provoca problemas de arranque, ya que borra ficheros que son fundamentales para el correcto funcionamiento del equipo al que afecta. Además, finaliza procesos relacionados con algunos programas antivirus y firewalls, lo que deja al PC vulnerable al ataque de otro malware, y termina los procesos correspondientes a los gusanos Mydoom.A y Mydoom.B. También merece destacarse que Deadhat.C abre el puerto TCP 2766, permitiendo descargar ficheros en el ordenador por medio de una conexión remota.
Mydoom.E, por su parte, se propaga a través del correo electrónico -en un mensaje con características variables- y del programa de ficheros compartidos (P2P) KaZaA. Introduce una librería de enlace dinámico (DLL) que, a su vez, crea un backdoor que abre el primer puerto TCP disponible desde el 3127 al 3198. Este componente permite descargar y activar un fichero ejecutable y actúa como un servidor proxy TCP, posibilitando que un hacker acceda, de forma remota, a los recursos de red. A partir del 14 de Febrero de 2004, este gusano finaliza sus efectos, terminando su ejecución cada vez que sea activado.
Finalizamos el informe de hoy con Agent.B, troyano que ha sido enviado masivamente en un e-mail que contiene un fichero adjunto, o un enlace que aprovecha una vulnerabilidad de Internet Explorer conocida como URLSpoof. Agent.B se coloca residente en memoria y captura las pulsaciones de teclado introducidas por el usuario en formularios o páginas web que contienen ciertas palabras clave, y que pertenecen, mayoritariamente, a entidades financieras. Los datos que obtiene los guarda en un fichero que posteriormente envía por correo electrónico.
Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en el sitio de la compañía.
