Virus y Troyanos

Como todas las semanas, Panda Software ha emitido el informe que semanalmente realiza sobre los virus e intrusos más destacados. Con la información proporcionada por PandaLabs, esta semana destacan tres troyanos, con funciones bien distintas: CXOver.A, Banker.CHG y Cryzip.A.

22-03-2006 - CXOver.A es un código que se limita a propagarse a través de conexiones ActiveSync entre ordenadores que tengan instalada la plataforma .NET y dispositivos móviles, como PDA o teléfonos móviles. Cuando es ejecutado, comprueba si el ordenador está conectado a algún dispositivo móvil mediante ActiveSync y crea una copia de sí mismo en dicho dispositivo. Después, si se conecta el dispositivo móvil afectado a otro ordenador mediante ActiveSync, CXOver.A enviará una copia de sí mismo a dicho ordenador. CXOver.A elimian los ficheros en la carpeta “Mis documentos” del dispositivo portátil.

Los otros dos códigos mencionados en el informe son una muestra más de la nueva dinámica empleada por los creadores de malware. El primero, Banker.CHG es otro miembro de la familia Banker, especializada en robos de contraseñas de acceso a sistemas de banca on-line. Este troyano permanece residente en memoria comprobando las páginas a las que accede el usuario.

En el momento que la página visualizada en el navegador de Internet coincide con una serie de URL almacenadas en Banker.CHG, redirecciona al usuario a otro sitio con la misma apariencia que la del banco pero controlada por un hacker. Banker.CHG no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación.

Por último, y como claro ejemplo del interés de los hackers en la extorsión a los usuarios, PandaLabs informa de Cryzip.A. Es un troyano que comprime en formato ZIP con contraseña todos los archivos con muy diversas extensiones, como CGI, DBX, DOC, DSW, JPG, MDB, PDF, TXT, XLS, etc.). El usuario no podrá abrir dichos archivos hasta que obtenga la contraseña, siguiendo las instrucciones dejadas por Cryzip.A en un archivo de texto. En caso de que haya sido afectado por este troyano, la contraseña para poder descomprimir los archivos es “C:Program FilesMicrosoft Visual StudioVC98”.

Además de estos códigos maliciosos, PandaLabs advierte de dos vulnertabilidades que han sido corregidas por Microsoft. La primera de ellas, según se informa en el "Microsoft Security Bulletin MS06-011", corrige un error por el que un atacante podría llegar a tomar el control del sistema afectado. Así, podría llegar a instalar programas con graves consecuencias, o llevar a cabo cualquier tarea sin que el propietario del sistema se perciba de ello.

Los sistemas afectados son Microsoft Windows XP Service Pack 1 y Microsoft Windows Server 2003 (también la versión para sistemas Itanium). Las actualziaciones que corrigen el error y más información se puede encontrar en http://www.microsoft.com/technet/security/Bulletin/ms06-011.mspx.

La segunda actualización, del boletín MS06-012, corrige un error similar al anterior, ya que también puede permitir a un usuario tomar control del sistema, en este caso si los usuarios inician sesión como administradores del sistema.

Según este segundo boletín, los sistemas afectados son Office 2000 SP 3, Office XP SP 3, Office 2003 SP 1 o 2 y Microsoft Works Suites, desde la versión 2000 hasta la 2006. También se ha visto afectado Office para Mac (Versiones X y 2004).

PandaLabs hace especial hincapié en estos problemas por su gravedad. También recuerda a los usuarios que deben instalar las actualziaciones lo antes posible. En este caso se vuelve especialmente importante, ya que al permitir la instalación de programas, estas vulnerabilidades son el escenario perfecto para ser víctimas del nuevo malware dedicado al cibercrimen.

Fuente;
PandaLabs