Winxor.A se conecta a un servidor IRC y espera órdenes de control (como descargar archivos o ejecutar programas). Cuando su autor así lo determina, este código malicioso escanea direcciones IP para intentar localizar puertos abiertos. Si pertenecen a servidores afectados por el mencionado problema de seguridad, Winxor.A instala un servidor FTP en el puerto 36010, y lo utiliza para transferirse a ellos.
Tras acceder a un equipo, Winxor.A lleva a cabo las siguientes acciones:
– Crea dos archivos: CCEVTMNGR.EXE, que es una copia suya, y CCSETMNGR.EXE, que es un componente que busca ordenadores remotos que presenten la vulnerabilidad en el servicio WINS, para intentar aprovecharse de ella.
– Genera varias entradas en el Registro de Windows, para ejecutarse cada vez que se enciende el equipo y registrarse a sí mismo como un servicio de Windows.
Breacuk.E, por su parte, es un gusano que se propaga a través del programa de intercambio de archivos punto a punto (P2P) KaZaA. Para ello, realiza el siguiente proceso:
– Crea, en el directorio de Windows, un directorio llamado SOFTWARE KINGS AND QUEENS, y lo comparte a través de KaZaA.
– Genera, en el referido directorio, múltiples copias suyas con atractivos nombres, para que las descarguen otros usuarios, creyendo que son juegos y otro tipo de aplicaciones. En la práctica, cuando se ejecuta el archivo descargado, el ordenador queda afectado por Breacuk.E.
Breacuk.E borra archivos que tienen, entre otras extensiones, las siguientes: EXE, DLL, OCX y BMP, lo que provocará que determinadas aplicaciones no funcionen correctamente. Además, este código malicioso crea problemas al encender el ordenador.
Finalizamos el informe de hoy con Asan.A, gusano que afecta a servidores que tengan instalada una versión vulnerable del programa phpBB, y que ya hayan sido atacados por otro gusano que Panda Software detecta como PHP/Santy.A.worm. En este caso, elimina la vulnerabilidad del servidor, aunque ello puede acarrear diversas pérdidas, en cuanto a funcionalidad se refiere.
Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección: http://www.pandasoftware.es/virus_info/enciclopedia/
Información adicional
– WINS (Windows Internet Name Service): servicio que gestiona los nombres asociados a los ordenadores de una red y, por lo tanto, el acceso y la posibilidad de trabajar con cada uno de ellos. Un ordenador contiene la base de datos con las direcciones en formato IP (por ejemplo, 125.15.0.32) y los nombres comunes asignados a cada ordenador de la red (por ejemplo, SERVIDOR1).
Más definiciones técnicas en:
http://www.pandasoftware.es/virus_info/glosario/default.aspx
