Bagle.AF se manda por correo electrónico -empleando para ello su propio motor SMTP-, a las direcciones que obtiene de los ficheros del PC al que afecta que tengan alguna de las siguientes extensiones: WAB, TXT, MSG, HTM, SHTM, STM, XML, DBX, MBX, MDX, EML, NCH, MMF, ODS, CFG, ASP, PHP, PL, WSH, ADB, TBB, SHT, XLS, OFT, UIN, CGI, MHT, DHTM y JSP.
Bagle.AF finaliza procesos pertenecientes a programas de seguridad, como antivirus, y se conecta a diferentes scripts PHP. Asimismo, este gusano contiene código para abrir un puerto y permanecer a la escucha del mismo como backdoor.
Atak.A, por su parte, se propaga a través del correo electrónico en mensajes escritos en inglés, de características variables, que incluyen un archivo adjunto que puede tener doble extensión. La primera extensión será JPG o GIF, seguida de un número aleatorio de espacios en blanco, mientras que la segunda será EXE.
En el equipo al que afecta, Atak.A busca direcciones de correo electrónico en los ficheros con extensión ADB o WAB, y en los archivos cuyo tamaño sea inferior a 81920 bytes y tengan una de las siguientes extensiones: ASP, CFG, CGI, DBX, EML, HTM, HTML, JSP, LOG, MBX, MHT, MSG, NCH, ODS, PHP, SHT, TBB, UIN, VBS y XML. Después se manda a todas las direcciones que ha recopilado, utilizando su propio motor SMTP.
Para asegurarse de que no hay más de una copia suya ejecutándose Atak.A crea un mutex. Adicionalmente, este gusano comprueba si existe algún debugger activo en el ordenador al que afecta, en cuyo caso finaliza su ejecución.
El siguiente gusano al que nos referimos hoy es Korgo.Z, que emplea la vulnerabilidad de Windows LSASS para difundirse a través de Internet e introducirse automáticamente en los ordenadores. También afecta a todas las plataformas Windows, si bien sólo se introduce de forma automática en aquellos equipos que funcionen bajo Windows XP y 2000 y no han sido convenientemente actualizados.
La variante Z de Korgo se coloca residente en memoria e intenta descargar archivos de una serie de sitios web, a los que además envía información sobre el país donde se encuentra el ordenador afectado. En él, y tal y como sucedía con el gusano mencionado anteriormente, crea un mutex, para impedir que dos copias suyas se ejecuten de forma simultánea.
Terminamos el presente informe con Xebiz.A, troyano que se conecta a una página web para descargar, en el ordenador al que afecta, un troyano llamado Zerolin.A. Además, en dicho equipo genera varios archivos y crea entradas en el Registro de Windows, para así ejecutarse cada vez que se inicia el sistema.
Xebiz.A ha sido enviado masivamente, a través del correo electrónico, en e-mails escritos en inglés y que tienen características variables, aunque todos incluyen un formulario con un botón que, al ser pulsado, inicia la descarga de Zerolin.A.
Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/
Información adicional
– Debugger: herramienta informática con la que puede leerse el código fuente en el que están escritos los programas.
– Mutex: técnica utilizada por algunos virus para controlar el acceso a recursos (programas u otros virus), y evitar que más de un proceso utilice el mismo recurso al mismo tiempo.
Más definiciones técnicas en:
http://www.pandasoftware.es/virus_info/glosario/default.aspx
