Axatak utiliza cualquiera de los métodos normalmente empleados por los gusanos para propagarse (mensajes de correo electrónico, descargas de Internet, transferencia de ficheros a través del FTP, etc.). Tras afectar a un PC, obtiene las contraseñas con las que el usuario accede a una serie de recursos y posteriormente las envía al creador del virus.
Axatak también actúa como un troyano de tipo backdoor, ya que abre los puertos de comunicaciones 8850 y 8851 para entrar a Internet. De esta manera, permite que un hacker acceda a los recursos de la máquina afectada y pueda realizar en ella varias acciones, como enviar ficheros o abrir y cerrar la bandeja del CD-ROM. Por último, cada cinco minutos Axatak trata de acceder a la disquetera con el objetivo de crear copias de sí mismo en los disquetes.
Por su parte, Ganda.A se propaga a través del correo electrónico y, en ocasiones, se activa automáticamente al visualizar el mensaje -en el que se envía- a través de la Vista previa de Outlook, aprovechándose para ello de una vulnerabilidad existente en las versiones 5.01 y 5.5 del navegador Microsoft Internet Explorer. Una vez producida la infección, este gusano enviará una copia de sí mismo a todos los contactos que encuentra en la Libreta de direcciones de Windows, en los ficheros con extensión «EML», «HTM» y «DBX» del ordenador afectado y en la caché de Internet.
Ganda.A copia parte de su código en los ficheros PE, e introduce un archivo de tipo dropper en el equipo al que afecta. Además, borra determinados procesos relacionados con programas antivirus y firewalls, en el caso de que se encuentren activos.
El tercer gusano del presente informe es Bibrog.C que, sobre todo, se difunde por correo electrónico en un e-mail que incluye el fichero «ACADEMIA.EXE», aunque también puede hacerlo mediante programas de intercambio de ficheros P2P (punto a punto) y de los canales de ICQ. Es muy fácil de reconocer, ya que tras ejecutar el archivo «ACADEMIA.EXE» muestra un pequeño juego y cambia el fondo de la pantalla del ordenador.
Bibrog.C roba las claves que el usuario emplea para acceder a Hotmail, Yahoo, Citibank, etc., y se encuentra diseñado para eliminar una serie de ficheros, pero debido a un error de programación no lleva a cabo dicha acción.
Por último, Lentin.Q se difunde a través del correo electrónico en un mensaje de características muy variables. Para activarse automáticamente al visualizar el mensaje en el que se envía también aprovecha, como Ganda.A, la mencionada vulnerabilidad existente en las versiones 5.01 y 5.5 del navegador Microsoft Internet Explorer. A la vez puede propagarse a través de redes, ya que todos los miércoles realiza copias de sí mismo en las unidades compartidas.
Lentin.Q finaliza programas antivirus y firewalls, realiza ataques de Denegación de Servicio (DoS) contra cinco direcciones de Internet, cambia la página de inicio de Internet Explorer y cierra el Administrador de tareas.
Más información sobre estos u otros códigos maliciosos en la Enciclopedia de Virus de Panda Software, disponible en la dirección: http://www.pandasoftware.es/virus_info/enciclopedia/
Información adicional
– Caché: pequeña sección correspondiente a la memoria de un ordenador.
– Dropper: fichero ejecutable que contiene varios tipos de virus.
– PE (Portable Ejecutable): término que hace referencia al formato de ciertos programas.
Más definiciones técnicas relacionadas con los virus y los antivirus en:
