En el informe correspondiente a esta semana analizaremos dos gusanos -VBS/Lisa y Refoav-, y un troyano llamado Dialer.AF.
VBS/Lisa se propaga a través de los canales de chat IRC, de unidades de red compartida, de KaZaA y del correo electrónico en un mensaje cuyo asunto es «Click YES and vote against war!». En el directorio raíz del ordenador al que afecta crea hasta 5.000 carpetas, en cuyo interior coloca un fichero de texto en el que se lee: «I will never stop loving you».
VBS/Lisa incluye instrucciones en el fichero Autoexec.bat para formatear la unidad C:, y reinicia automáticamente el sistema para que la acción se lleve a cabo. Asimismo, este código malicioso elimina el fichero «Regedit.exe» y, si la fecha del sistema es tres días (o más) posterior a la fecha de infección, destruye los archivos «user.dat», «user.bak», «system.dat», «system.bak» y «win.com». Igualmente, desactiva los iconos del escritorio y, para intentar dificultar su detección por parte de los antivirus, intercala caracteres aleatorios (sin utilidad) dentro del código.
El segundo gusano al que nos referimos hoy es Refoav, que resulta muy fácil de reconocer, ya que siempre llega al ordenador en un e-mail que incluye el fichero «FOAVRE.EXE». Tras afectar a un equipo este código malicioso muestra en pantalla una serie de mensajes. Posteriormente se reenvía a todos los contactos que encuentra en la Libreta de direcciones de Outlook y a otras direcciones que encuentra en el sistema, del que después se borra. Para ejecutarse cada vez que se inicia Windows, Refoav genera una clave en el Registro de Windows. Además crea, en el directorio raíz del PC al que afecta, los archivos «VBSELI.VBS», «FOAVRE.EXE» y «DATOSPC.DAT».
Por su parte, Dialer.AF es un troyano de tipo dialer que genera el archivo «EROS.EXE», al tiempo que crea varias claves en el Registro de Windows. En la práctica, los efectos que produce Dialer.AF son:
– Tras instalarse en un sistema sitúa un icono en la Barra de tareas junto al reloj. Si con el botón derecho del ratón se pulsa sobre el mencionado icono aparecerá una opción para desinstalarlo. Sin embargo, aunque se elija dicha opción, quedará en memoria un proceso de Dialer.AF y no se borrará la entrada del Registro introducida por el troyano, por lo que al reiniciarse el ordenador éste seguirá residente, manteniendo un puerto abierto.
– Realiza, a través de Internet y sin el consentimiento explícito del usuario, una llamada telefónica de tarifa especial, lo que provocará el aumento de la factura telefónica.
Más información sobre estos u otros códigos maliciosos en la Enciclopedia de Virus de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/
