Informe semanal de Panda Software sobre virus e intrusos

El informe semanal sobre virus e intrusos que todas las semanas realiza PandaLabs se centra esta semana en varios códigos muy distintos entre ellos. Se trata de los virus ASPLux.A y Dengis.A; del troyano Snifsteal.A y del programa potencialmente no deseado Prokeylogger.

ASPLux.A, como ya se ha dicho, es un virus, y no tiene efectos destructivos. Su principal objetivo es propagarse insertando su código en archivos con extensión ASPX, utilizado en numerosas páginas web. Para infectar, busca archivos con la extension ASPX donde se alojan las páginas web creadas por el diseñador de las páginas web, y añade su propio código. Debido a esta acción, algunos archivos ASPX quedarían inservibles. Los archivos infectados tienen la marca “<!-- LUX -->”, y así evita reinfectar los archivos que ya han sido contaminados.

Para propagarse, extiende su infección a otros archivos, insertando su código en los archivos con extensión ASPX que encuentre en cierto directorio del ordenador afectado. Para introducirse en otros ordenadores utilzia las vías habituales: disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.

El otro virus de este informe semanal es Dengis.A, también sin efectos destructivos. Su objetivo es la infección de los ficheros fuente del programa de cálculo matemático “Matlab”. Para infectar, crea un objeto COM utilizando la función de Matlab denominada “actxserver”. Este objeto permite que se ejecute código que no está presente dentro del virus. Dengis.A presenta un cifrado pseudopolimórfico, que utiliza una operación XOR y una clave que varía con cada infección.

Snifsteal.A es un troyano, y consiste en una versión modificada de la extensión de Mozilla denominada NumberedLinks 0.9, que es un componente de Mozilla que se utiliza para acceder a los enlaces de las páginas web a través del teclado numérico en lugar del ratón.

Este troyano obtiene la información introducida por el usuario en formularios (a través de Firefox), como contraseñas del programa de mensajería instantánea ICQ, del servidor FTP y de los clientes de correo electrónico IMAP y POP3. Una vez almacenados estos datos, los envía a su autor, conectándose a la página web http://81.9<bloqueado>6.133/sutra/in.cgi4_, para comprobar si ya ha sido descargado.

El informe concluye con Prokeylogger, un programa potencialmente no deseado (también conocido como PUP, Potentially Unwanted Program). Entre otras funciones, registra las pulsaciones de teclado introducidas por el usuario, obtiene las contraseñas que se han introducido en el ordenador y realiza capturas de pantalla. Además, puede monitorizar escritorios remotos, webcams remotas, el portapapeles, los mensajes de correo electrónico, conversaciones de chat y mensajes instantáneos. La información que ha recogido es almacenada en un archivo log, que envía a través de correo electrónico o FTP en formato RTF o HTML.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de virus