Virus y Troyanos

ir a menu
ir a noticias
ir a bloques informativos
Ir a Página sobre accesibilidad
Ir a Página de Inicio
Ir a Página de Texto
Ir a Mapa web
Ir a Buscador
Ir a Aviso Legal
Contactar con la Asociación de Internautas
Comprueba tu velocidad de conexion, ADSL, Cable, RTB

Menu

Noticias

Ayuda a la Asociación de Internautas con tu donación

Informe Semanal de Panda Software de Virus e Intrusos.

El presente informe está protagonizado por un exploit -BodyOnLoad-, un troyano -AVKiller.V-, y un gusano -Samony.B-.

02-12-2005 - BodyOnLoad es un programa desarrollado para aprovecharse de la vulnerabilidad crítica de Ejecución Remota de Código de ventanas Javascript en Internet Explorer. Su objetivo es descargar cualquier clase de archivo en el ordenador, con el peligro que ello conlleva si los ficheros corresponden a ejemplares de malware, que se alojarían en páginas web de contenido para adultos. En la práctica, el proceso de infección se iniciaría con la visita del usuario a dichas páginas, que redirigen a una segunda en la que se encuentra alojado BodyOnLoad.

BodyOnLoad ya ha sido empleado para descargar y ejecutar una copia de un troyano que Panda Software detecta como Downloader.DLE. Aprovechándose del mencionado problema de seguridad, el citado exploit instala en los equipos un archivo -KVG.exe-, que pertenece al citado troyano y descarga y ejecuta dos archivos más -all.exe y XPsys.exe-. Los dos últimos también son componentes de Downloader.DLE y tienen como finalidad bajar los niveles de seguridad del navegador, ser punto de entrada de otro malware e instalar en el equipo varios ficheros que pertenecen a PicsPlace, programa que continuamente abre páginas de contenido para adultos.

La segunda amenaza a la que nos referimos hoy es AVKiller.V que, como todos los troyanos, no posee medios propios de propagación, por lo que depende de la distribución manual de terceros (por correo, descargas de Internet, transferencia de ficheros a través del FTP, u otros medios). En el equipo al que afecta, este troyano lleva a cabo varias acciones, entre las que destacan las siguientes:

- Intenta descargar -de una página web- el archivo SERVER.EXE, que corresponde a un troyano que Panda Software detecta como Banker.BHD.

- Elimina entradas del Registro de Windows que pertenecen a programas de seguridad, para impedir que se ejecuten cada vez que se inicia Windows.

- Borra, del directorio "Archivos de programa", todos los ficheros de la subcarpeta MICROSOFT ANTISPYWARE (que corresponden al antispyware de Microsoft).

- Crea dos archivos: STRT.EXE, que es una copia suya; y VM2.DLL, componente de AVKiller.V que se instala en el equipo para ejecutarse a la vez que Internet Explorer.

- Genera una entrada en el Registro de Windows, para ejecutarse siempre que se enciende el equipo.

Samony.B, por su parte, es un gusano con características de backdoor que se propaga a través de correo electrónico, en un mensaje escrito en inglés que tiene en el campo del asunto el texto: "Account # 394875948JNO Wed, 28", e incluye un archivo denominado "MAIN_23_C.EXE".

Tras instalarse en un ordenador Samony.B realiza, entre otras, las acciones que se mencionan a continuación:

- Permanece a la escucha del puerto 321 para recibir órdenes de control remoto (descargar, ejecutar, copiar y borrar archivos, listar directorios, etc.), que permiten que el ordenador afectado pueda ser administrado de forma remota.

- Obtiene las contraseñas almacenadas en el ordenador como, por ejemplo, en Protected Storage, donde se encuentran las claves de Outlook, Internet Explorer, etc.

- Registra las pulsaciones de teclado.

- Descarga una determinada página web, en la que aparece un número. Si la cifra es igual o mayor que 0013, Samony.B intentará actualizarse a sí mismo descargando el archivo DOWNLOAD.EXE de la referida página.

- Envía una copia suya a todos los contactos que encuentra en la Libreta de Direcciones de Windows y a las direcciones que encuentre en archivos con extensión HTML.


Para más información:
http://www.pandasoftware.es/virus_info/

Volver<<< Volver
ImprimirVersión para imprimir Impresora | Versión PDF PDF
Enviar artículo a un amigo:
Las direcciones de correo no se almacenan en parte alguna, simplemente son utilizadas para el envio del correo al destinatario

Bloques informativos

Virus y Troyanos

Seguridad Pymes

Logos y Marcas propiedad de sus respectivos autores
Se permite la reproducción total o parcial de todos los contenidos siempre que se cite la fuente y se enlace con el original
Logo AI pequeño
© 1998-2015 Asociación de Internautas
Aviso Legal - Contacto
¡Nuestro RSS! | Accesibilidad

¡Internautas Televisión! |¡Alertvir! |¡Seguridad en las PYMES! |¡Comisión de Seguridad! |¡Tienda de la Asociación de Internautas! |¡Seguridad en la Red! |¡Foros públicos de la Asociación de Internautas!