Lohack.C se propaga a través del correo electrónico y de redes de ordenadores en un mensaje que intenta atraer la atención de quien lo recibe mediante un texto alusivo a la Ley de Servicios de la Sociedad de la Información y el Correo Electrónico. Igualmente, para granjearse la confianza de los usuarios, este código simula proceder del Ministerio de Ciencia y Tecnología español y de Panda Antivirus.
Lohack.C se activa automáticamente con tan sólo ver el mensaje en el que se envía, a través de la Vista previa de Outlook. Para conseguirlo, aprovecha la vulnerabilidad -conocida como Exploit/Iframe- que afecta a las versiones 5.01 y 5.5 de Internet Explorer y permite la ejecución automática de los ficheros adjuntos a los mensajes de correo. Por último, merece destacarse que Lohack.C mueve el puntero del ratón por la pantalla.
El segundo gusano del presente informe es Flop.A, que se difunde realizando copias de sí mismo en todos los disquetes -no protegidos contra escritura- que encuentre en la disquetera. Tras ejecutarse muestra en pantalla un mensaje en el que anuncia un método para alargar el miembro viril. El fichero que contiene a Flop.A tiene el mismo icono que el correspondiente a los documentos de Word.
Por su parte, Sexer.A es un gusano que se propaga a través del correo electrónico en un mensaje -escrito con caracteres cirílicos- que tiene un fichero adjunto llamado WIN2DRV.EXE. Sexer.A envía una copia de sí mismo a todos los contactos que encuentra en la Libreta de direcciones de Windows del PC al que ha afectado, en el que también cambia el fondo de Windows por un texto en caracteres cirílicos.
El cuarto código malicioso que analizamos hoy es Sdbot.N, troyano que ha sido enviado de forma masiva por correo electrónico en un mensaje cuyo asunto es: «Microsoft Security Update» e incluye un fichero adjunto denominado MS03-047.EXE. Además, el cuerpo del e-mail contiene un texto que intenta hacer creer al usuario que proviene de la compañía Microsoft. En la práctica, cuando el mencionado archivo es ejecutado, Sdbot.N se coloca residente en memoria y se conecta a un canal IRC desde el que recibe comandos de control para realizar, entre otras, las siguientes acciones: escanear puertos, descargar y ejecutar ficheros, lanzar ataques de Denegación de Servicio (DoS), etc.
Por último, Vix.A es un virus con características de gusano que infecta ficheros PE y se propaga a través de los programas de intercambio de ficheros punto a punto (P2P) KaZaA, iMesh y Shareaza. Una vez que un fichero ha sido infectado por este código malicioso, no podrá ser desinfectado y quedará, por tanto, inutilizable.
Más información sobre estos u otros códigos maliciosos en la Enciclopedia de Virus de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/
Información adicional
– PE (Portable ejecutable): este término se refiere al formato de ciertos programas.
– Vista previa: característica por la cual los programas de correo electrónico permiten visualizar el contenido de los mensajes sin necesidad de abrirlos.
Más definiciones técnicas relacionadas con los virus y los antivirus en:
Sobre PandaLabs
Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.
