Informe semanal de Panda software sobre virus e intrusos

Como todas las semanas, Panda Software elabora un informe en el que se explican diversos virus y otras amenazas que han sido destacables. En este caso, PandaLabs destaca dos variantes del ya tristemente famoso gusano Bagle, las denominadas IB y HZ, así como un código malicioso que explota una vulnerabilidad.

Bagle.IB, primero de los dos gusanos Bagle del informe, presenta funciones de rootkit. Estas funciones le permite ocultar archivos, procesos y entradas del Registro de Windows. Para pasar desapercibido en el sistema, intenta desactivar nada menos que 495 procesos distintos, todos ellos relacionados con soluciones de seguridad, como antivirus y cortafuegos.

Por su parte, el otro gusano de la familia Bagle al que se refiere el informe, Bagle.HZ, emplea casi los mismos sistemas que la variante IB, pero desactiva 30 procesos más, llegando a los 525.

Ambas variantes de Bagle emplean un fichero denominado M_HOOK.SYS, que es realmente el componente rootkit. Gracias a él, los procesos pertenecientes a Bagle permanecerán ocultos ante una búsqueda que se quiera efectuar.

Esta técnica de ocultación empleada por los rootkits entraña graves problemas, ya que los procesos pueden estar llevando a cabo acciones muy peligrosas en los sistemas, como puede ser la captura de contraseñas o el robo de datos del usuario, sin que haya síntomas detectables para determinadas herramientas de seguridad.

Por último, el informe de Panda Software destaca un código creado específicamente para intentar explotar la vulnerabilidad “createTextRange()” en Internet Explorer funcionando bajo los sistemas Windows 2003/XP/2000/Me/98.

Por culpa de esta vulnerabilidad, si Internet Explorer trata de mostrar una página web que contiene cierta llamada inesperada del método “createTextRange()” a objetos HTML, se puede corromper la memoria del sistema, pudiendo ejecutar cualquier clase de código arbitrario en el ordenador vulnerable.

Un objeto TextRange representa texto en un documento HTML y se utiliza para recuperar y modificar texto en un elemento, para localizar cadenas específicas en un texto y para ejecutar comandos que afectan a la apariencia del texto.

Para aprovecharse de esta vulnerabilidad, los hackers alojan el código malicioso en una página web y después convencen al usuario para que la visite. Además, también puede aprovecharse mediante el envío de mensajes que contengan un enlace a la página web maliciosa.

Panda Software detecta el código asociado al aprovechamiento de esta vulnerabilidad como CreatetxtRange, alertando al usuario de su presencia en las páginas visitadas y evitando que pueda verse afectado.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de virus