Informe semanal de Panda Softwaresobre virus e intrusos

El informe de esta semana se ocupa de los gusanos Netsad.F y Nuwar.A, así como del backdoor Nixfed.A.

El gusano Netsad.F utiliza un sistema ya clásico para evitar su detección: finaliza procesos pertenecientes a diversas herramientas de seguridad. Con esta técnica, muchos códigos pretenden no solo no ser detectados, sino dejar al ordenador del usuario afectado sin defensas contra otras amenazas. Además, hace cambios en la configuración del sistema para que el usuario no pueda acceder a numerosas páginas web de fabricantes de programas de seguridad.

Para propagarse, Netsad.F emplea dos sistemas distintos. Por un lado, el correo electrónico, mandándose a sí mismo en mensajes que aparentan provenir de yahoo.com, falseando la dirección del remitente real. Los asuntos de los mensajes son o bien llamadas a la curiosidad del usuario (“classroom test of you?”, “I have your password!”, “old photos about you?”, etc) o bien mensajes que aparentan ser comunicaciones sobre algún error del sistema (“Deliver Error”, “Deliver Mail”, “Delivery Failure”, etc). El código del gusano se encuentra almacenado en un fichero adjunto al mensaje, cuyo nombre también varía, como por ejemplo MAIL.PIF, PANDA.EXE, README.HTML.CMD, etc.

Además de por correo electrónico, este gusano intenta propagarse a través de redes P2P. Para ello, introduce una copia del código en los directorios compartidos de Emule, KaZaA o Morpheus con nombres que inciten a usuarios de estos sistemas a su descarga (“FunGame.flash.exe”, “PasswordFinder.exe”, “pornoPic.scr”, etc).

Similares acciones ejecuta el gusano Nuwar.A para pasar desapercibido, aunque con menor efectividad. Si Netsad.F es capaz de eliminar de memoria más de 350 procesos distintos, Nuwar.A no llega siquiera a 15. En cambio, en el correo electrónico con el que se propaga utiliza muchas más direcciones falsas, y con más dominios que el único empleado por Netsad.F.

El asunto del mensaje de propagación siempre atañe a un tema relacionado con la política, haciendo mención a la tercera guerra mundial o a los presidentes Bush o Putin.

Por último, en este informe vamos a centrar la atención en el backdoor Nixfed.A. Este programa, una vez instalado en el sistema, deja abierta la posibilidad de que el ordenador sea controlado por un tercero sin que el usuario se de cuenta. Entre las acciones que puede llevar a cabo este backdoor, están:

• Registrar las pulsaciones de teclado introducidas por el usuario.
• Realizar capturas de pantalla.
• Transferir archivos.
• Reiniciar y/o apagar el ordenador.
• Iniciar una sesión de chat con el ordenador afectado.
• Abrir la bandeja de la unidad de CD-ROM.
• Establecer una clave para iniciar la conexión en ese ordenador.
• Controlar el tráfico de red generado.
• Registrar las acciones realizadas en el sistema.
• Ejecutarse con cada inicio de sesión.
• Deshabilitar el Administrador de Tareas.

Nixfed.A supone un elevado peligro para los usuarios infectados, ya que todas las acciones que lleve a cabo pueden ser vigiladas, incluso aquellas más confidenciales como las transacciones bancarias.

Todos estos códigos maliciosos reseñados son detectados por las Tecnologías TruPrevent™ de Panda Software sin necesidad de conocerlos previamente. Así, cualquier usuario de Panda Software ha estado protegido contra estas intrusiones desde el primer momento.

No obstante, todos aquellos usuarios que deseen comprobar si su ordenador ha sido atacado por estos u otros códigos maliciosos pueden hacer uso, de manera completamente gratuita de la solución ActiveScan desde aquí. Con él podrá llevarse a cabo una inspección completa y sin coste alguno de cuantos elementos del sistema deseen verificarse ante la sospecha de una infección.

Más información sobre estas u otras amenazas informáticas en la Enciclopedia de virus