Noticia nº20.924

/noticias.info/ 11/06/04. El informe sobre virus e intrusos de la presente semana se ocupa de los gusanos Plexus.B, Korgo.H y Korgo.I, así como del troyano Downloader.GK.

Plexus.B es una variante muy similar al gusano original, que puede utilizar varios métodos para difundirse. Así, puede entrar en los equipos directamente a través de Internet, aprovechando la conocida vulnerabilidad de Windows LSASS. También puede enviarse en forma de archivo adjunto a mensajes de correo electrónico escritos en inglés. Además, está diseñado para propagarse a través de redes y del programa para intercambio de archivos P2P, KaZaA.

Pese a que Plexus.B sólo puede entrar directamente en ordenadores que funcionen bajo Windows XP y 2000, también puede afectar al resto de plataformas Windows. En este caso, sin embargo, es necesario que el usuario ejecute un archivo que contenga al citado gusano.

Plexus.B modifica el archivo de hosts de Windows, sobrescribiendo su contenido. De este modo, consigue que el usuario no pueda acceder al sitio web de una determinada compañía antivirus.

Korgo.H y Korgo.I son dos nuevos miembros de la prolífica familia de gusanos Korgo, que hacen uso de la vulnerabilidad de Windows LSASS. De esta forma, pueden propagarse a través de Internet e introducirse automáticamente en los ordenadores. Al igual que Plexus.B, las dos variantes de Korgo también afectan a todas las plataformas Windows, si bien sólo se introducen de forma automática en aquellos ordenadores que funcionen bajo Windows XP y 2000.

Una vez instalados en el sistema, Korgo.H y Korgo.I abren varios puertos TCP, permaneciendo a la espera de recibir un archivo que ejecutar en el ordenador afectado. Con este mismo fin, intentan conectarse a varios servidores IRC.

Finalmente, Downloader.GK es un troyano que descarga y ejecuta en el sistema afectado dos programas de tipo adware denominados Adware/BetterInet y Adware/SearchCentrix. No se propaga por sí mismo, ya que es descargado en el ordenador afectado cuando el usuario visita ciertas páginas web y acepta instalar un control ActiveX determinado.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software.


Información adicional

- Puerto de comunicaciones/Puerto: punto de acceso a un ordenador o medio a través del cual tienen lugar las transferencias de información (entradas/salidas), del ordenador con el exterior y viceversa (vía TCP/IP).

- P2P (Peer to peer): programas o conexiones de red empleadas para prestar servicios a través de Internet (intercambio de ficheros, generalmente), que los virus y otros tipos de amenazas utilizan para distribuirse. Algunos ejemplos de estos programas son KaZaA, Emule, eDonkey, etc.


Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.