Virus y Troyanos

El informe de esta semana se ocupa de tres amenazas informáticas: los troyanos Banker.AXW y Format.A, y el gusano de correo electrónico Sober.Y.

09-10-2005 - Format.A es un troyano que se hace pasar por una herramienta desarrollada para poder ejecutar código no firmado en las consolas PSP (PlayStation Portable). En realidad, una vez ejecutado borra archivos fundamentales para su buen funcionamiento. Como consecuencia de esta acción, la consola no arrancará, quedando inutilizada. Para propagarse, Format.A se anuncia como una aplicación que sirve para cambiar -haciendo uso de un exploit- la versión de la BIOS de las consolas PSP a una más antigua que permite la ejecución de juegos no originales.

Por su parte, Banker.AXW es un troyano que controla las ventanas cuya barra de título contiene ciertas cadenas de texto que están relacionadas principalmente con entidades bancarias. Cuando detecta alguna de ellas, registra las pulsaciones de teclado realizadas por el usuario, con el objetivo de robar información confidencial, como contraseñas o nombres de usuario. Finalmente, envía la información robada utilizando varios scripts PHP. Al igual que la mayoría de los troyanos, Banker.AXW no tiene capacidad para propagarse por sí mismo, sino que precisa de la intervención de un usuario malicioso. Los medios que pueden emplearse son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, etc.

Finalmente, Sober.Y es una nueva variante de la familia de gusanos del mismo nombre que, como sus predecesores, tiene una gran capacidad de propagación a través de correo electrónico. De hecho, tan sólo unas horas después de su aparición, PandaLabs comenzó a detectar incidencias en equipos de usuarios de todo el mundo. Para evitar que Sober.Y pueda seguir propagándose, sobre todo debido a equipos que carecen de una adecuada protección antimalware, Panda Software ha puesto a disposición de los usuarios una aplicación gratuita PQRemove que detecta y elimina eficazmente a este gusano de cualquier ordenador que haya podido resultar afectado. La misma puede ser descargada desde la dirección http://www.pandasoftware.es/descargas/utilidades/

Sober.Y utiliza para propagarse dos tipos de correos: en el primer caso, el correo, escrito en inglés, y de asunto “Your new password”, simula ser una confirmación de cambio de password, e invita al usuario a comprobar los datos en un fichero adjunto, pword_change.zip. En el segundo caso, el correo está escrito en alemán, y simula ser una foto de compañeros de colegio que se adjunta, en un fichero KlassenFoto.zip. Ambos ficheros comprimidos, contienen al abrirlos el ejecutable PW_Klass.Pic.packed-bitmap.exe, que no es más que una copia del propio gusano.

Si se ejecuta dicho fichero, se muestra un falso error de CRC, pese a que su acción ya ha comenzado. En ella, el gusano recopila todas las direcciones de un conjunto de extensiones del ordenador afectado, y se envía a todas ellas, usando los dos correos previamente mencionados utilizando su propio motor SMTP. Sólo utilizará el correo escrito en alemán en el caso de que las direcciones enviadas tengan extensión .de (Alemania), .ch (Suiza), .at (Austria), o bien .li (Liechtenstein).

Fuente; www.pandasoftware.es