Hatoy.A llega al ordenador cuando el usuario accede a una página web maliciosa. Para ello se aprovecha de la vulnerabilidad de Microsoft Internet Explorer denominada «Etiqueta de Objeto», que permite ejecutar automáticamente en el PC archivos contenidos en determinadas páginas. Tras ejecutarse, y cuando el usuario intenta acceder a buscadores web, Hatoy.A le dirige a una dirección IP, que puede albergar diferentes páginas.
Petala.A es un troyano backdoor que se difunde a través de redes y de IRC. En la práctica, permite a los hackers acceder, de manera remota, al ordenador para realizar -mediante comandos de IRC- acciones (copiar ficheros, finalizar procesos, etc.) que comprometen la confidencialidad de los datos del usuario y dificultan su trabajo.
Por su parte, las variantes B, C, D, E, F y G del troyano Istbar instalan programas espía y dialers en el equipo, sin que su propietario sea consciente de ello. Además, muestran diferentes ventanas con publicidad de páginas web pornográficas y añaden una barra de herramientas al navegador Internet Explorer.
El primer gusano al que nos referimos en el presente informe es Dozer.A, que se envía a todos los contactos de MSN Messenger que encuentra en el PC al que afecta. Con el objetivo de engañar a los usuarios se manda en un e-mail que aparenta proceder de Microsoft y contener un fichero con una actualización para corregir una vulnerabilidad en el citado sistema de mensajería instantánea. Cuando dicho archivo se ejecuta, se muestra en pantalla un falso mensaje de error para confundir a la víctima. A la vez, Dozer.A crea varias claves en el registro de Windows, e intercepta y termina procesos pertenecientes a antivirus y firewalls que se encuentren en ejecución.
Simbag.A también se propaga a través del programa de mensajería instantánea MSN Messenger, enviando una copia de sí mismo a todos los contactos que encuentre. Asimismo, crea enlaces a diferentes páginas web de contenido erótico y genera, en el directorio de Windows del PC al que afecta, los siguientes ficheros: SMB.EXE, ADMAGIC.EXE, TEST.TXT, SM.DLL, RAW32X.DLL y UZ.EXE.
Acabamos este informe con Holar.I, que se difunde a través del correo electrónico y del programa de intercambio de ficheros punto a punto (P2P) KaZaA. Cambia la página de inicio del navegador Internet Explorer y, cuando ha sido ejecutado más de treinta veces, desactiva el ratón y el teclado.
Más información sobre estos u otros códigos maliciosos en la Enciclopedia de Virus de Panda Software, disponible en la dirección: http://www.pandasoftware.es/virus_info/enciclopedia/
Información adicional
– Backdoor / Puerta trasera: punto (de hardware o de software) que permite acceder al control total o parcial de un ordenador.
– Dialer: programa que utilizado fraudulentamente permite realizar conexiones a números telefónicos de tarifa especial sin el consentimiento explícito del usuario. En concreto, cuelga la conexión telefónica que está utilizándose en ese momento (la que permite el acceso a Internet, mediante el marcado de un determinado número de teléfono) y establece otra, marcando un número de teléfono de tarifa especial.
– Programa espía: aplicación que acompaña a otra y se instala automáticamente en un ordenador (sin permiso de su propietario y sin que éste sea consciente de ello) para recoger información (datos de acceso a Internet, páginas visitadas, programas instalados en el ordenador, etc.).
