Shruggle.1318 no se propaga automáticamente por sus propios medios, sino que extiende su infección a otros archivos. Infecta otros ordenadores cuando se distribuyen los ficheros previamente infectados, que pueden llegar al PC a través de cualquiera de las vías habituales: disquetes, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales de IRC y redes de intercambio de archivos punto a punto (P2P), etc.
Shruggle.1318 infecta archivos ejecutables de tipo PE y DLLs (Librerías de Enlace Dinámico) en sistemas operativos Windows de 64 bits para procesadores AMD.
El primer gusano al que nos referimos hoy es Sasser.G, que se difunde a través de Internet, atacando ordenadores remotos y aprovechándose de la vulnerabilidad LSASS. Para ello, realiza -mediante el puerto TCP 445-, peticiones ICMP a direcciones IP aleatorias.
Sasser.G sólo se propaga automáticamente a ordenadores con Windows XP/2000, y funciona en el resto de sistemas operativos Windows si el archivo que lo contiene es ejecutado por un usuario malicioso. Por último, cabe destacar que cuando Sasser.G explota la vulnerabilidad LSASS provoca un desbordamiento de buffer -en el programa LSASS.EXE-, que desencadena el reinicio del ordenador.
Gaobot.AIR, por su parte, es un gusano con características de backdoor que emplea una gran variedad de medios para propagarse, como los que se mencionan a continuación.
– Aprovecha las vulnerabilidades LSASS, RPC DCOM y WebDAV para difundirse a través de Internet.
– Realiza copias de sí mismo en recursos compartidos de red, a los que logra acceso.
– Puede entrar en ordenadores que tengan la aplicación SQL Server, cuya cuenta System Administrator (SA) tenga la contraseña en blanco.
– Entra en ordenadores que tengan instalado el programa DameWare Mini Remote Control, y en los equipos afectados por los siguientes backdoors: Optix, NetDevil, Kuang y SubSeven.
Gaobot.AIR permite controlar, de forma remota, el PC al que afecta, posibilitando realizar en él acciones como ejecutar comandos, descargar y ejecutar archivos y capturar las pulsaciones del teclado.
Finalizamos el informe de hoy con MhtRedir.S, troyano que utiliza la vulnerabilidad indicada por Microsoft en el boletín MS04-013 para ejecutarse en el ordenador, cuando el usuario visita páginas web de contenido malicioso.
Cuando MhtRedir.S se ejecuta, se conecta a una determinada página web, de la que descarga un archivo llamado HELP.CHM. El citado fichero es, a su vez, un troyano denominado StartPage.JL, que cambia la página de inicio del navegador Internet Explorer y sus opciones de búsqueda por defecto.
