Webber.S y Webber.P son dos backdoors que permiten acceder, de forma remota, a los ordenadores a los que afectan, de los que recogen información confidencial que posteriormente envían a diferentes sitios web. Entre las características que diferencian a las citadas variantes destacan:
– La forma de distribución.
La difusión de Webber.P se ha realizado mediante la introducción de cambios en la configuración de servidores web, que utilizan la versión 5.0 de Internet Information Services (IIS). En concreto, se han modificado para que incluyan, en las páginas que albergan, un código malicioso escrito en JavaScript que Panda Software detecta como Exploit/DialogArg. El citado exploit permite que Webber.P se descargue y se ejecute en el ordenador, aprovechándose para ello de una vulnerabilidad de Internet Explorer.
La distribución de Webber.S se realiza cuando el usuario visita determinadas páginas web, que incluyen un código malicioso escrito en JavaScript. Este código, a través de una vulnerabilidad de Internet Explorer, posibilita la descarga y ejecución de Webber.S en el PC, sin que el usuario sea consciente de ello.
– Webber.P abre dos puertos TCP para conseguir que el equipo funcione como servidor proxy.
El tercer backdoor al que nos referimos hoy es Agent.E, que llega al ordenador cuando el usuario visita determinadas páginas web. Este código malicioso instala en el equipo una Librería de Enlace Dinámico, que permite controlar algunas funciones del navegador Internet Explorer. Entre las acciones que Agent.E permite realizar se encuentran obtener información del sistema, acceder a archivos de determinadas aplicaciones, usar objetos para comunicación, etc.
Bankhook.A, por su parte, es un troyano que se instala en el equipo aprovechándose, para ello, de la vulnerabilidad MhtRedir de Internet Explorer. Se registra en el equipo al que afecta, para así ejecutarse cada vez que se utilice el citado navegador.
Bankhook.A busca, en el tráfico HTTPS que se genera en el PC, una serie de cadenas de texto referentes a entidades de banca online. Cuando encuentra una procede a robar la información asociada (nombre de usuario, contraseña de acceso, número de cuenta y tarjeta de crédito, etc.), y la envía -mediante un script- a un ordenador.
El segundo troyano que analizamos es Scob.A, que afecta a ordenadores con Windows XP/2000/NT y que funcionen como servidores web, al tener instalada la versión 5.0 de IIS. En la práctica, este código malicioso modifica la configuración de dicha aplicación para que en todos los archivos ofrecidos desde dichos servidores web se incluya el código Exploit/DialogArg.
Terminamos el presente informe con las variantes U, V y W de Korgo, que utilizan la vulnerabilidad de Windows LSASS para propagarse a través de Internet e introducirse automáticamente en los ordenadores. También afectan a todas las plataformas Windows, si bien sólo se introducen de forma automática en aquellos equipos que funcionen bajo Windows XP y 2000. Las tres se conectan a una serie de sitios web, de los que intentan descargar archivos. Además, envían a los mencionados sitios información sobre el país donde se encuentra el ordenador al que han afectado.
Korgo.U, Korgo.V y Korgo.W se colocan residentes en memoria y, a diferencia de otros ejemplares de malware que emplean la vulnerabilidad LSASS para afectar los equipos, no provocan la aparición de un mensaje de error con una cuenta atrás y el posterior reinicio del ordenador.
Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/
Información adicional
– Backdoor / Puerta trasera: programa que se introduce en el ordenador y establece una puerta trasera a través de la cual es posible controlar el sistema afectado, sin conocimiento por parte del usuario.
– Internet Information Server (IIS): servidor de Microsoft destinado a la publicación, mantenimiento y gestión de páginas y portales web.
– Librería de enlace dinámico (DLL): tipo especial de fichero, con extensión DLL.
Más definiciones técnicas en:
http://www.pandasoftware.es/virus_info/glosario/default.aspx
