Netsky.AG -que ha sido creado modificando el fichero ejecutable de Netsky.B- se envía por correo electrónico, utilizando su propio motor SMTP, a todas las direcciones que encuentra en ficheros con determinadas extensiones. Para engañar a los usuarios, Netsky.AG falsifica la dirección del remitente del mensaje en el que se manda, utilizando para ello alguna de las direcciones que recoge de los archivos existentes en el ordenador al que afecta. Además, este gusano se difunde a través de los programas de intercambio de ficheros punto a punto (P2P).
Tras ser ejecutado, Netsky.AG muestra en pantalla un mensaje de error e intenta copiarse en todas las unidades del equipo, excepto en las que corresponden a unidades de CD-ROM. A su vez, esta variante de Netsky borra las entradas pertenecientes a otros gusanos, entre los que se hallan Mydoom.A y Mimail.T.
Darby.gen, por su parte, es una detección genérica de las variantes de la familia de gusanos Darby que pueden aparecer en el futuro. El citado grupo de gusanos se propaga a través del correo electrónico y de programas de intercambio de archivos punto a punto (P2P). Asimismo, se caracteriza por terminar procesos correspondientes a diversos programas antivirus y a otras aplicaciones de seguridad -como, por ejemplo, cortafuegos y herramientas de monitorización del sistema-, dejando así al PC indefenso ante otros ejemplares de malware.
El tercer ejemplar al que nos referimos hoy es JPGTrojan.D, programa que permite crear imágenes en formato JPG que aprovechan la vulnerabilidad denominada Desbordamiento de buffer en procesamiento JPEG (descrita en el boletín MS04-028 de Microsoft).
Entre los efectos que puede conllevar abrir una imagen creada por JPGTrojan.D destacan especificar un puerto para abrir -para así permitir acceder al ordenador afectado-, y descargar un archivo ejecutable desde Internet, para posteriormente ejecutarlo en el PC.
Funner.A es un gusano que se propaga a través del programa MSN Messenger y modifica el archivo HOSTS, para que así el usuario no pueda acceder a ciertas páginas web. Además, en ordenadores con Windows Me/98/95 cambia el archivo SYSTEM.INI -para ejecutarse cada vez que se inicia el PC-, y sobrescribe el archivo RUNDLL32.EXE, sustituyéndolo por una copia suya.
Finalizamos el informe de hoy con Nemsi.A, virus que no se difunde automáticamente por sus propios medios. En concreto, llega a otros ordenadores cuando se distribuyen los archivos que previamente ha infectado y que pueden entrar al ordenador a través de cualquiera de las vías habituales (disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, canales de IRC, etc.).
Nemsi.A infecta archivos con extensión EXE, incluyendo su código al inicio de los mismos (prepending). Tras afectar un equipo, este virus cambia el icono de los archivos EXE infectados y, si es ejecutado el 13 de septiembre, provoca un fallo de protección general (pantalla azul) de Windows.
Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/
