El peligroso ataque combinado llevado a cabo por Spamta.VK y Spamtaload.DT fue una de las principales preocupaciones de la semana en PandaLabs. El primero es un gusano diseñado para conectarse a diversos servidores y enviar correos electrónicos de forma masiva. Esos correos adjuntan un archivo, generalmente un ejecutable, que esconde una copia del troyano Spamtaload.DT. Cuando este troyano infecta un ordenador, descarga una copia del gusano Spamta.VK y el proceso vuelve a comenzar.
Estos ataques combinados aseguran una mayor distribución de los ejemplares. En este caso, las propiedades de distribución del gusano son aprovechadas para difundir un troyano. Este ataque llegó a representar hasta el 80% de los avisos de malware en circulación recibidos por hora en PandaLabs, explica Luis Corrons, Director Técnico de PandaLabs.
Spamtaload.DT muestra un mensaje de error cada vez que es ejecutado. El icono del archivo que lo esconde es el de un archivo de texto. Spamta.VK, por su parte, descarga varios ficheros maliciosos de la web. Además, como ya se ha dicho, se conecta a varios servidores para enviar correos masivos y continuar con la propagación de ambos ejemplares.
Ldpinch.AAI es un troyano diseñado para robar contraseñas de diferentes tipos de programas: clientes de correo, navegadores, clientes FTP, etcétera. Para ello, el troyano lee los archivos de configuración y entradas del registro de esos programas.
Ldpinch.AAI también roba datos de las conexiones telefónicas a Internet configuradas en el equipo, así como de los procesos activos. Toda esa información es enviada al creador del malware a través de un formulario alojado en una página web.
Para poder enviar toda esa información, este troyano es capaz de impedir el correcto funcionamiento de ciertos cortafuegos.
El gusano Grum.A se propaga en correos que ofrecen una beta de Internet Explorer 7. El correo presenta una imagen de gran tamaño que, supuestamente, conduce a la descarga de esa beta. Al pinchar en ella, los usuarios se estarán descargando este gusano.
Después de que se ha ejecutado y copiado en la memoria, el gusano borra el archivo original. Este gusano infecta documentos ejecutables (.exe). Además, crea copias de esos ficheros con el mismo nombre y la extensión .rgn, para dificultar más su eliminación del sistema.
Una funcionalidad peligrosa de Grum.A es la de ocultar sus procesos con funcionalidades rootkit. Esto dificulta su detección por parte de las soluciones de seguridad. Además, para ocultarse aún más, este gusano intercepta distintas DLLs del sistema, y se copia en otras (system.dll, ntdll.dll, kernel32.dll, etc.) para ocultar sus acciones maliciosas.
Grum.A también está diseñado para abrir una puerta trasera en los ordenadores infectados. De esta manera, un atacante puede acceder y controlar esa máquina de manera remota. Además, este gusano se conecta a una dirección web para descargar una actualización de sí mismo.
Esta semana, además, Microsoft ha publicado un parche de seguridad para resolver la vulnerabilidad en los archivos de cursores animados (.ANI). Esta vulnerabilidad afecta a Windows Vista, XP y Server 2003.
La vulnerabilidad se aprovecha mediante una página web especialmente creada para ello. Los atacantes han de convencer al usuario de que visite esa página para poder aprovechar el fallo en el sistema. Una vez lo hayan logrado, podrán controlar el ordenador afectado de manera remota con los mismos privilegios que el usuario que haya iniciado la sesión. Esto es especialmente peligroso si el usuario tiene privilegios de administrador. En este caso, los atacantes gozarán de un control total del ordenador.
Sobre PandaLabs
Desde 1990, PandaLabs trabaja en la detección y eliminación de nuevas amenazas de seguridad, con el objetivo de analizar las nuevas amenazas lo antes posible para mantener seguros a nuestros clientes. Varios equipos especializados en cada tipo de malware (virus, gusanos, troyanos, spyware, phishing, spam, etc.) trabajan 24 horas los 7 días de la semana, dando respuesta a nuestros clientes. Se apoyan en las Tecnologías TruPreventTM, un sistema global de alerta temprana. Está formado por sensores estratégicamente distribuidos, que neutralizan nuevas amenazas y las envían a PandaLabs para su análisis en profundidad. Según Av.Test.org, actualmente, PandaLabs es el laboratorio más rápido de la industria en proporcionar actualizaciones completas a los usuarios.
