Informe semanal de virus de Panda

El gusano BlackAngel.B, los troyanos Banker.DJH Xorpix.O, el virus Detnat.A, y las 12 últimas vulnerabilidades reconocidas por Microsoft -MS06-21, MS06-22, MS06-23, MS06-24 MS06-25, MS06-26 MS06-27, MS06-28 MS06-29, MS06-30, MS06-31 y MS06-32- acaparan la atención del presente informe semanal de PandaLabs.

BlackAngel.B es un gusano que se propaga a través de la aplicación de mensajería MSN Messenger. Para ello envía un mensaje con el texto “jaja look a that”, junto con un vínculo a un archivo llamado “fantasma.zip”, el cual aparenta ser un archivo de Windows Media Player. El archivo tiene una doble extensión que queda oculta para usuarios que tengan activada la opción de ocultar las extensiones de archivo de tipos de archivos conocidos. Al ser ejecutado, el gusano finaliza una serie de procesos relacionados con herramientas antivirus y firewall, lo que deja a la computadora infectada vulnerable ante otros ataques. También deshabilita el acceso a herramientas de administración del sistema operativo como el panel de control, el editor de registro, el administrador de tareas o la opción de restaurar sistema. Finalmente, BlackAngel.B procede a apagar la computadora infectada, lo que provoca la pérdida de cualquier documento que no hubiera sido guardado previamente.

Banker.DJH es un troyano que roba datos confidenciales del equipo infectado. Para ello, monitoriza las páginas de Internet que visita el usuario, y si detecta que accede a ciertas entidades bancarias procede recopilar los datos introducidos. Además también roba la información de cuentas de correo electrónico encontradas en la computadora. Para ocultar sus acciones, el troyano deshabilita la función de protección de archivos de Windows, para poder modificar los archivos userinit.exe y sfc_os.dll. Banker.DJH no se propaga por sus propios medios, sino que necesita de la intervención del usuario para propagarse, abriendo un archivo infectado enviado por correo electrónico, descargado de una página web o de programas de mensajería y redes P2P.

Xorpix.O es un troyano que convierte la computadora que infecta en un servidor proxy. Además, abre un puerto aleatorio para informar al atacante que la computadora está disponible. No se propaga por sus propios medios, sino que requiere una acción del usuario para propagarse, como por ejemplo abrir un archivo adjunto a un correo electrónico o ejecutar archivos infectados descargados desde Internet, servidores FTP o redes P2P. Al ser ejecutado, Xorpix.O se inyecta en el proceso del sistema winlogon.exe, y crea un proceso llamado iexplore.exe para simular que es una instancia de Internet Explorer. Asimismo, crea una serie de entradas de registro para asegurar su ejecución en cada arranque del sistema operativo.

Detnat.A es un virus que infecta archivos PE (Portable executable) que no estén comprimidos. Utiliza un algoritmo de empaquetado para que el archivo infectado conserve su tamaño original, así como una rutina polimórfica para realizar un cifrado distinto en cada infección. Detnat.A se propaga través de los recursos compartidos de red a los que obtenga acceso. Asimismo, infecta equipos mediante la intervención del usuario, si éste abre archivos adjuntos a correos electrónicos, descargados de Internet o de otras fuentes.

Microsoft ha publicado esta semana 12 boletines de seguridad sobre una serie de vulnerabilidades, 8 de ellas catalogadas como críticas, descubiertas en distintas aplicaciones y componentes de su sistema operativo: MS06-21, MS06-22, MS06-23, MS06-24 MS06-25, MS06-26 MS06-27, MS06-28 MS06-29, MS06-30, MS06-31 y MS06-32.  Las vulnerabilidades detectadas afectan entre otros, a Internet Explorer, Windows Media Player y a distintas versiones de Microsoft Word y PowerPoint, y en caso de ser aprovechadas con éxito podrían otorgar control total a un atacante remoto sobre el equipo afectado. Por ello, se recomienda descargar los parches de seguridad que corrigen estas vulnerabilidades desde la página web de Microsoft.