Lovgate.C y Lovgate.E son dos gusanos/troyanos que, entre otras, comparten las siguientes características:
– Se propagan a través de redes locales y del correo electrónico.
– Responden a todos los mensajes que encuentran en la Bandeja de entrada.
– Mandan muchos e-mails con ficheros infectados a los contactos que encuentran en la Bandeja de entrada de Windows y a las direcciones de correo que hallan en una serie de directorios.
– Están preparados para actuar como troyanos. Para ello abren un puerto TCP de comunicaciones, convirtiendo así el ordenador afectado en vulnerable a posibles ataques desde el exterior, y envían un e-mail al creador del gusano con información confidencial -dirección IP, nombre de la máquina y nombre de usuario- del equipo.
– Generan un gran número de copias suyas en las unidades de red compartidas a las que consiguen acceder.
– Ambos están escritos en lenguaje de programación visual C++.
Entre los elementos que diferencian a las variantes «C» y «E» de Lovgate destacan:
– El puerto TCP de comunicaciones que emplean cuando actúan como troyanos. Lovgate.C abre normalmente el 10168, mientras que Lovgate.E recurre al 1192 en ordenadores NT, y al 10168 en los demás casos.
– Lovgate.E también captura las pulsaciones del teclado que realiza el usuario en el ordenador.
– En Lovgate.C el fichero que genera la infección tiene un tamaño de 78848 bytes y está comprimido con Aspack, mientras que el de Lovgate.E es de 99296 bytes y se encuentra comprimido con Upx modificado.
El tercer gusano que analizamos hoy es Gibe.B, cuyos efectos son más molestos que dañinos. Se propaga con rapidez -simulando ser una actualización de seguridad de un programa de Microsoft- a través del correo electrónico, el programa de intercambio de ficheros KaZaA, los canales de chat IRC y las unidades de red compartidas.
Gibe.B aprovecha dos vulnerabilidades de Internet Explorer (concretamente, Exploit IFRAME y cabecera de MIME incorrecta). Por ello, si este código malicioso llega a través del correo electrónico al ordenador le afectará con tan sólo visualizar -mediante la Vista previa- el mensaje en el que se envía.
Por su parte, CrazyBull es un troyano de tipo backdoor que permite a los hackers acceder, de forma remota, a los recursos (impresoras, programas, documentos, etc.) de los ordenadores a los que afecta. Para que un PC resulte atacado por este código malicioso es necesario que sea cliente de una red TCP/IP.
Por último, Ekiam es un virus de macro que infecta documentos de Word y la plantilla global que dicha aplicación utiliza. Además, desactiva la protección antivirus en las macros de Word. Tras realizar la infección, Ekiam cambia el nombre de la persona que ha registrado el sistema operativo, si éste último se encuentra en castellano.
Más información sobre estos u otros códigos maliciosos en la Enciclopedia de Virus de Panda Software, disponible en la dirección: http://www.pandasoftware.es/virus_info/enciclopedia/
Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.
