Informe semanal de Panda Softwaresobre virus e intrusos

El informe de esta semana centra su atención en los troyanos Sinowal.CR, Briz.R. y en el gusano Sohanat.U.

Sinowal.CR está diseñado para recopilar información confidencial de los ordenadores afectados, tales como contraseñas y otros datos almacenados por Protected Storage, o clientes de correo electrónico como Ak-Mail, Eudora y The Bat, entre otros.

Además de lo anterior, Sinowal.CR, también obtiene datos de las máquinas a las que afecta, como dirección IP, nombre, área geográfica donde se encuentra, puertos abiertos, etc. Posteriormente, el propio troyano se encarga de enviar la información robada a determinados servidores de Internet.

Al igual que la mayoría de los troyanos, Sinowal.CR no puede propagarse automáticamente, sino que precisa de la intervención de un usuario malicioso. Así, puede ser encontrado en disquetes o CD-ROMs infectados, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencias de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.

Por su parte, Briz.R es un troyano muy peligroso, ya que está diseñado para permitir a un delincuente el control remoto de los ordenadores afectados, así como para redirigir a los usuarios hacia falsas páginas web diseñadas para robar datos confidenciales. El origen de este código malicioso se encuentra en la trama de venta y creación de troyanos personalizados Briz que PandaLabs descubrió y desmanteló hace unos meses.

El ataque de Briz.R comienza con la instalación de un archivo llamado iexplore.exe, que tiene como misión comprobar si existe conexión a Internet. En caso positivo, descarga otro archivo llamado ieschedule.exe, que permite almacenar parámetros de configuración del troyano, como puede ser el número del puerto por el que enviará la información robada.

Otro de los componentes descargados es ieserver.exe, que es el encargado de crear un servidor web en el equipo. La función de este servidor web es la de redirigir al usuario hacia páginas web falsificadas -diseñadas para robar datos personales- cada vez que intente acceder a ciertas de direcciones de Internet, muchas de ellas correspondientes a servicios financieros online. En caso de que el usuario introduzca datos en las páginas falsas, el troyano robará y enviará los datos al delincuente. Este servidor web también permite el control remoto del ordenador afectado, a través de la instalación de una aplicación programada en PHP llamada phpRemoteView.

Además, Briz.R también modifica el archivo hosts del sistema, de manera que impide el acceso a un gran número de páginas web relacionadas con seguridad informática.

Finalmente, Sohanat.U es un gusano que se propaga a través de programas de mensajería instantánea como Yahoo Messenger, AIM o Windows Live Messenger, entre otros. Para ello, envía mensajes como "Download free MP3s”, incluyendo un link que, al ser pulsado, descarga una copia del gusano en el ordenador.

Una vez en el equipo, el gusano desactiva procesos correspondientes a algunas aplicaciones de seguridad. Además, modifica la página de inicio de Internet Explorer para que apunte a cierta dirección de Internet.

Sohanat.U también desactiva el acceso al Administrador de Tareas de Windows, así como al programa regedit.exe. Con ello, trata de impedir que el usuario pueda eliminarle de su ordenador.

Más información sobre estas u otras amenazas informáticas en la Enciclopedia de virus