Rolark es un troyano diseñado para acceder y controlar, de forma remota, los sistemas aprovechando para ello una vulnerabilidad que puede ser explotada en los servidores web que utilizan Windows 2000 y la versión 5.0 de Internet Information Server. El mencionado problema de seguridad tiene su origen en un desbordamiento de buffer detectado en la librería ntdll.dll, que emplea el componente WebDAV en Internet Information Server 5.0.
Rolark resulta difícil de reconocer, ya que no muestra mensajes o avisos que alerten sobre su presencia, y no se instala ni se copia en el sistema. Con él, un hacker podría atacar aquellos servidores que no estén debidamente actualizados.
Por su parte, SFC es un virus de macro que se propaga a través de las aplicaciones de chat IRC o PIRCH y del correo electrónico. Cuando lo hace mediante el segundo medio citado es muy fácil de reconocer, ya que se envía en un e-mail que lleva adjunto un documento de Word e incluye un texto que asegura que se encuentran infectados por un virus los ordenadores en los que exista el fichero «SFC.EXE». En la práctica, «SFC.EXE» es un archivo que se encuentra en todos los ordenadores que funcionan bajo Windows.
SFC infecta la plantilla global de Word y los documentos que se abran, cierren o guarden en el ordenador al que ha afectado. También impide que el usuario manipule las macros de Word, y desactiva la protección antivirus que incorpora el mencionado editor de textos.
Finalizamos el presente informe con las variantes «F» y «G» de Lovgate, gusanos que se propagan a través del correo electrónico y de redes locales y crean, en las unidades de red compartidas a las que consiguen acceder, un gran número de copias de sí mismas. Además, envían muchos e-mails con ficheros infectados a los contactos que encuentra en la Bandeja de entrada de Windows y a las direcciones de correo que halla en una serie de directorios.
Lovgate.F y Lovgate.G están escritos en lenguaje de programación visual C++, y comprimidos con ASpack. La variante «G» se diferencia de la «F» en el nombre que crea para indicar que está residente en memoria.
Más información sobre estos u otros códigos maliciosos en la Enciclopedia de Virus de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/
