Trj/Kamuflao3 afecta a los equipos que tengan instalado Windows XP y consta de tres ficheros: un cliente, un servidor y un sencillo programa de configuración (denominado «Generador Victima Smtp.exe»). Con la última aplicación mencionada el atacante puede seleccionar fácilmente la dirección de correo electrónico a la que se notificará la IP del ordenador de la víctima.
Para que Trj/Kamuflao3 pueda llevar a cabo sus acciones el mencionado programa servidor debe estar instalado en el PC afectado, para lo que es necesario que el usuario lo ejecute. Una vez configurado el servidor, podrá establecerse la conexión entre éste y el cliente, y Trj/Kamuflao3 estará listo para realizar en el ordenador afectado varias acciones, como mostrar la password de MSN y borrar los ficheros del directorio raíz del disco duro.
El primer gusano al que nos referimos hoy es Grimgram, que se propaga a través del correo electrónico reenviándose a todos los contactos que encuentra en la Libreta de direcciones del equipo al que afecta, así como a todas las direcciones de correo que halla en los ficheros con extensión «HTML» y «HTM» que existan en el ordenador. También se difunde mediante el programa de intercambio de ficheros punto a punto (P2P) KaZaA y de los canales de chat IRC.
Tras infectar un equipo, Grimgram muestra en pantalla un mensaje, se conecta a dos direcciones de Internet y envía un correo electrónico con información confidencial del ordenador afectado a la dirección achiel2015@latinmail.com.
El fichero que provoca la infección de Grimgram es un documento con extensión «HTML» que contiene un script de Visual Basic. Cuando el archivo es ejecutado, el gusano genera cuatro copias de sí mismo, una de ellas en el directorio raíz del disco duro y las tres restantes en el directorio de Sistema. Además, Grimgram genera dos claves en el Registro de Windows. Con una de ellas consigue ejecutarse cada vez que se inicia el sistema, y con la segunda almacena las direcciones de correo electrónico a las que les ha enviado una copia del virus.
Por su parte, Cult.B, como el gusano anteriormente mencionado, utiliza el correo electrónico y KaZaA, para propagarse y modifica varias claves en el Registro de Windows para ejecutarse cada vez que se enciende el equipo.
Para llevar a cabo la infección, Cult.B crea, en el directorio de sistema de Windows, una copia suya que recibe el nombre «Wuauqmr.exe». Se trata, además, de un código malicioso muy fácil de reconocer, ya que llega en un e-mail que siempre lleva el siguiente asunto: «Hi, I sent you an eCard from BlueMountain.com».
Más información sobre estos u otros códigos maliciosos en la Enciclopedia de Virus de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/
