Noticia nº17.276

/noticias.info/ En el último informe correspondiente al mes de marzo vamos a referirnos a cinco gusanos -Mywife.A, Snapper.A, Cone.E, Netsky.P y Witty.A-, y a una herramienta de hacking denominada Starr.A.

Mywife.A es un gusano que se propaga a través del correo electrónico en un mensaje escrito en inglés y de características variables. Borra las entradas del Registro de Windows pertenecientes a diversos programas antivirus y de seguridad, por lo que las citadas aplicaciones no se ejecutarán automáticamente la próxima vez que Windows se inicie. Esto conlleva que el equipo afectado por Mywife.A quede indefenso ante el ataque de otro malware.

Snapper.A es un gusano que se propaga a través del correo electrónico. Se activa automáticamente con tan sólo visualizar, a través de la Vista previa de Outlook, el mensaje en el que se manda. Para conseguirlo, aprovecha la vulnerabilidad -conocida como Exploit/Iframe- que afecta a las versiones 5.01 y 5.5 de Internet Explorer y permite la ejecución automática de los ficheros adjuntos a los mensajes de correo.

Debido al citado exploit, el equipo afectado por Snapper.A se descargará el fichero banner.htm que, a su vez, descargará un archivo con extensión CGI, que se aprovecha de otra vulnerabilidad -llamada Object Data Remote Execution (Ejecución Remota de Datos de Objeto)- para ejecutar código en lenguaje Visual Basic Script. Cuando esto sucede, se crea una DLL en el directorio de Windows.

Cone.E, por su parte, es un gusano que se difunde a través del correo electrónico en un mensaje escrito en inglés, de características variables, y de los programas de intercambio de ficheros punto a punto (P2P). Una vez que ha sido ejecutado, Cone.E es fácil de reconocer, ya que muestra varios mensajes en pantalla. Igualmente, realiza ataques de Denegación de Servicio (DoS) contra la página web de la Agencia Oficial de Noticias de Irán, y está preparado para responder a los mensajes que lleguen a la Bandeja de Entrada del PC al que afecta.

El siguiente gusano que analizamos hoy Netsky.P que, como el código malicioso anteriormente mencionado, se propaga por e-mail -en un mensaje escrito en inglés de características variables-, y de los programas de intercambio de ficheros punto a punto (P2P). A su vez, como Snapper.A, aprovecha la vulnerabilidad Exploit/Iframe para activarse automáticamente.

En el equipo al que afecta Netsky.B lleva a cabo varias acciones, como borrar las entradas pertenecientes a varios gusanos -entre los que se encuentran Mydoom.A, Mydoom.B, Mimail.T y varias variantes de Bagle-, crear ficheros en el directorio de Windows y eliminar entradas del Registro.

Finalizamos el apartado dedicado a los gusanos con Witty.A, que se difunde a través de Internet, aprovechándose para ello de una vulnerabilidad existente en determinadas versiones del intérprete ICQ. En concreto, este gusano envía su código malicioso a puertos aleatorios de direcciones IP escogidas al azar y, si el ordenador al que llega es vulnerable, se ejecuta y lleva a cabo sus acciones, como sobrescribir sectores aleatorios del disco duro, lo que puede conllevar pérdidas información y eventuales fallos del sistema.

Terminamos el presente informe con Starr.A, que es una herramienta de hacking que permite monitorizar las actividades en Internet y en el sistema. Así, por ejemplo, permite realizar el registro de las pulsaciones de teclas. Adicionalmente, incorpora una protección a nivel de núcleo, lo que dificulta su detección. Por sí mismo, Starr.A no representa un riesgo, pero puede ser empleado con intenciones maliciosas.

26/03/2004