Bagle.BC se difunde por correo electrónico -en un mensaje escrito en inglés
y de características variables-, y de programas de intercambio de archivos
punto a punto (P2P), y también podría hacerlo a través de redes. Abre el
puerto TCP 81 y permanece a la escucha, a la espera de que se realice una
conexión remota. A través de ella, permite acceder -de forma remota- al
ordenador al que afecta, para realizar en él acciones que pueden comprometer
la confidencialidad de los datos del usuario o dificultar su trabajo.
Además, Bagle.BC termina procesos pertenecientes a herramientas de seguridad
como, por ejemplo, programas antivirus, dejando así al equipo indefenso a
los ataques de otro malware.
Zafi.C se propaga a través de programas de intercambio de archivos punto a
punto (P2P), y del correo electrónico. Cuando lo hace por e-mail utiliza su
propio motor SMTP y se envía a las direcciones en cuyo dominio no aparezcan
determinadas cadenas, y que obtiene de los ficheros de la máquina afectada
que tengan como extensión una de las siguientes: htm, wab, txt, dbx, tbb,
asp, php, sht, adb, mbx, eml y pmr.
El idioma del texto que aparece en el mensaje en el que se manda Zafi.C
varía, dependiendo de la extensión del dominio al que pertenezca la
dirección a la que se manda. Si la extensión de dominio es de los siguientes
países: Alemania, República Checa, Dinamarca, España, Finlandia, Francia,
Holanda, Hungría, Italia, Lituania, Noruega, Polonia, Rumanía y Suecia, el
texto aparece en su idioma correspondiente, y si no en inglés.
Zafi.C intenta lanzar ataques de Denegación de Servicio (DoS) contra tres
sitios web, pertenecientes a Google, Microsoft y al Primer Ministro de
Hungría. Además, finaliza los procesos que contengan las cadenas «firewall»
y «virus», e impide el acceso a las aplicaciones que incluyan las cadenas
«reged», «msconfig2» y «task2».
Los siguientes gusanos a los que nos referimos son las variantes B y C de
Famus. Ambas se distribuyen a través de correo electrónico en un fichero
adjunto -a mensajes escritos en español y en inglés-, y recurren a técnicas
de «ingeniería social» para difundirse al mayor número posible de equipos.
En concreto, intentan que el usuario abra el citado archivo haciéndole creer
que contiene interesantes imágenes del conflicto armado que actualmente
tiene lugar en Irak. En la práctica, si se ejecuta dicho fichero, estos
gusanos mostrarán una falsa ventana de error y se enviarán a todas las
direcciones de e-mail que encuentren en ficheros cuya extensión sea: doc,
eml, htm, y htt.
Famus.B y Famus.C también recogen datos del ordenador afectado -como, por
ejemplo, cuenta de correo, servidor, nombre de usuario, versión de Windows,
etc.-, y los envían a quien ha creado su código.
Swash.A, por su parte, es un gusano que se propaga a través del correo
electrónico -en un mensaje escrito en inglés y de características
variables-, y a través de programas de intercambio de archivos punto a punto
(P2P). Finaliza los procesos correspondientes a programas de seguridad -como
antivirus y cortafuegos-, e impide acceder a las páginas web de las
principales compañías antivirus. Debido a las citadas acciones, Swash.A deja
al ordenador afectado indefenso ante otros ejemplares de malware.
Los últimos gusanos que analizamos en el presente informe son Buchon.A y
Buchon.B, que se propagan a través del correo electrónico, en un mensaje
escrito en inglés. Una característica peculiar de ambos es que esperan 10
minutos desde que se ejecutan hasta que comienzan a enviar mensajes
infectados. Por contra, se diferencian en que la variante B ha sido
compilada siete horas más tarde, y que la espera de diez minutos antes de
enviarse por e-mail la realiza después de comprobar la fecha del sistema.
Finalizamos el informe de hoy con Spyware/Spydeleter, programa espía -o
spyware- que se descarga automáticamente cuando se visitan páginas web que
contienen enlaces a scripts Java maliciosos, que intentan instalarlo. Una
vez en el sistema, Spyware/Spydeleter descarga -mediante conexiones FTP-
otros programas espía. Asimismo, crea y deja activos en memoria varios
procesos para funcionar en todo momento.
En el registro de Windows del equipo al que afecta, Spyware/Spydeleter crea
varias entradas cuyo efecto más significativo es el cambio de la página de
inicio del navegador Microsoft Internet Explorer, por otra que advierte que
el equipo puede estar infectado por algún spyware. Dicha página también
incluye un link donde, supuestamente, el usuario encontrará ayuda para
limpiar su equipo. Si realmente se pulsa dicho link se accede a una página
desde donde puede descargarse el programa Spy Deleter que eliminará esos
spyware -a cambio de 29 dólares USA-, y que ha sido supuestamente
desarrollado por la misma persona que realizó y distribuyó
Spyware/Spydeleter.
Los usuarios cuyos equipos hayan sido afectados por Spyware/Spydeleter
también encontrarán que en el escritorio han aparecido dos links -llamados
«Click to Remove Spyware» y «Remove Spyware Now»- que apuntan a la citada
página de compra.
Más información sobre éstas u otras amenazas informáticas en la Enciclopedia
de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/
