Informe semanal de Panda Software sobre virus e intrusos

Si la semana pasada el informe semanal de Panda Software recogía la aparición de numerosas variantes de Spamta, esta semana vuelve a estar en primer plano. Además, PandaLabs informa de otros códigos maliciosos, entre los que destacan Bck/WebMic.A y Trj/Rizalof.KD..

Los creadores de Spamta parecen no descansar. Según los datos de PandaLabs, las nuevas variantes del gusano siguen creciendo en número a un ritmo de casi 10 diarias. Todas las variantes son muy similares, ya que únicamente varía el mensaje empleado como señuelo para el usuario y, en algunos casos, el mensaje que muestran al ser ejecutados..

Según declaró Luis Corrons, Director de PandaLabs, es posible que “se trate de ensayos, en un intento por encontrar un código malicioso que sea capaz de propagarse rápidamente al mayor número de ordenadores posible”. Una vez extendido, continúa Corrons, es posible que “intente introducir alguna nueva funcionalidad que le permita realizar acciones mucho más dañinas”.

Por otro lado, PandaLabs informa de Bck/WebMic.A, malware en forma de puerta trasera. De origen alemán, cuando se instala en el ordenador afectado abre 2 puertos e intenta conectarse a un servidor por el puerto 1338. Una de sus características más llamativas es que puede grabar video y audio del ordenador infectado, empleando para ello el sistema de sonido interno y la web cam si está instalada en el sistema. Para llevar a cabo la grabación, queda a la espera de comandos del servidor al que se conecta.

Para intentar pasar desapercibido, WebMic.A desactiva el mecanismo de actualización del antivirus Avira, modificando el fichero hosts en el ordenador, y camuflando sus entradas en el registro de Windows como “Windows XP Manager”. Las acciones que lleva a cabo le hacen detectable proactivamente por las Tecnologías TruPrevent™ de Panda Software.

Por último, PandaLabs informa de la aparición del troyano Trj/Rizalof.KD. Este código posee un cliente de IRC que utiliza para conectarse a un servidor desde el que recibe órdenes para llevar a cabo acciones básicas, como descargar un fichero de una URL y ejecutarlo.

En algunas versiones de este troyano, las cadenas de texto contenidas en el ejecutable están cifradas con un algoritmo sencillo con objeto de dificultar el análisis y la detección genérica de sí mismo. Sin embargo, las Tecnologías TruPrevent™ de Panda Software consiguen detectar el código como malicioso sin necesidad de conocerlo previamente.

Más información sobre estas u otras amenazas informáticas en la Enciclopedia de virus