Entre las acciones que Netsky.R y Netsky.Q llevan a cabo destacan las siguientes:
– Borran las entradas pertenecientes a varios gusanos, como Mydoom.A, Mydoom.B, Mimail.T y diferentes variantes de Bagle.
– Intentan realizar ataques de Denegación de Servicio (DoS) contra diversas páginas web.
Netsky.Q se activa automáticamente con tan sólo visualizar, a través de la Vista previa de Outlook, el mensaje en el que se manda. Para conseguirlo, aprovecha la vulnerabilidad -conocida como Exploit/Iframe- que afecta a las versiones 5.01 y 5.5 de Internet Explorer y permite la ejecución automática de los ficheros adjuntos a los mensajes de correo. Por otra parte, Netsky.Q está programado para emitir -entre las 5:00 y las 10:59 de la mañana- un sonido compuesto de varios tonos aleatorios, cuando la fecha del sistema es 30 de marzo de 2004.
Por su parte, Bagle.V y Bagle.U se difunden en e-mails fáciles de reconocer, ya que el asunto y el cuerpo de texto de los mensajes aparecen en blanco, e incluyen un fichero adjunto de nombre variable y extensión EXE. Igualmente, ambos sólo se ejecutan si la fecha del sistema es 1 de enero de 2005 o anterior y, después de dicha fecha, dejan de funcionar.
Las variantes V y U de Bagle están programadas para que, cuando se ejecute los archivos que las contienen, se abra el puerto TCP 4751. A través de este puerto intentan conectarse a una página web para enviar a su autor los datos del ordenador infectado, con el objetivo de que acceda al mismo. Además de compartir las mencionadas características, hay otras que diferencian a estos gusanos, como las que se mencionan a continuación:
– El fichero adjunto que contiene a Bagle.V tiene como icono la imagen de una jeringuilla, mientras que el de Bagle.U es un reloj.
– Bagle.U abre el juego de Windows Corazones, si dicha aplicación está instalada en el ordenador afectado.
El quinto gusano que analizamos hoy es Sober.E, que descarga un fichero de una página web, si la fecha es posterior al 24 de marzo de 2004, al tiempo que intenta conectarse a varios servidores NTP para comprobar la fecha actual. Una vez es ejecutado, es fácil saber que este gusano ha afectado a un equipo, ya que abre la aplicación de Windows Paint o muestra en pantalla el texto «Graphic Modul not found».
Concluimos el informe de hoy con Seeker.O, troyano que se coloca residente en memoria. Cada hora intenta abrir una vez una página de publicidad, que se encarga de acceder a una web diferente en cada ocasión. Algunas de las páginas que abre intentan descargar e instalar diversos programas spyware y adware en el ordenador afectado.
Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/
