Informe semanal de Panda software sobre virus e intrusos

El troyano 1Table.A y los backdoor Gusi.A y Gusi.B son la base del presente informe semanal de PandaLabs:

1Table.A es un troyano que aprovecha una vulnerabilidad crítica descubierta en las últimas versiones de Microsoft Word. En estos momentos no existe un parche para solventar la vulnerabilidad descubierta. El troyano llega a los equipos en forma de documento legítimo de Word, o cualquier otro documento de Microsoft Office que contenga un documento de Word incrustado. Al abrir dicho documento el troyano genera un desbordamiento de búfer en la aplicación que le permite la ejecución arbitraria de código con los mismos privilegios de la cuenta de usuario logada; si el usuario posee permisos de administrador, la vulnerabilidad otorga control total del equipo al atacante. En este caso, el troyano utiliza la vulnerabilidad para liberar en el sistema afectado cualquiera de las variantes del backdoor Gusi.A o Gusi.B.

Este nuevo troyano no se propaga automáticamente, sino que requiere de una acción del usuario para poder alcanzar un sistema y aprovechar su vulnerabilidad. Ejemplos de estas acciones serían abrir ficheros adjuntos de correo electrónico, descargar ficheros de Internet o de redes P2P.

Gusi.A es un backdoor que no alcanza los equipos por sus propios medios, sino que necesita ser liberado por otro malware, como por ejemplo 1Table.A. Una vez en el sistema, se inyecta en Internet Explorer, y captura determinadas funciones API para poder pasar inadvertido. Al instalarse envía información sobre la máquina comprometida, pudiendo recibir órdenes de forma remota tales como abrir la consola de Windows (cmd.exe). El gusano crea los ficheros Winguis.dll, en la subcarpeta System de Windows, los ficheros Etport.sys, Ispubdrv.sys y Rvdport.sys en la subcarpeta drivers, y el fichero 20060424.bak, que presenta el siguiente icono a continuación:

Asimismo, el gusano se inserta en el registro en la entrada AppInit_DLLs, para asegurar su ejecución cada vez que se arranque el sistema operativo.

Gusi.B es una variante del backdoor Gusi.A, que es introducida en los sistemas por otro troyano, como 1Table.A, aprovechando una vulnerabilidad crítica no documentada de Microsoft Word. Un indicio de su presencia es que provoca un error de ejecución en Internet Explorer si no encuentra una conexión a Internet activa. Al ser liberado abre una serie de puertos consecutivos, comenzando desde el 1032, para enviar información sobre la máquina en la que está presente y poder recibir comandos a ejecutar en la máquina afectada. Después inyecta su código en Internet Explorer y se conecta a la dirección IP 222.9.X.X. Este backdoor utiliza técnicas de Rootkit para ocultar sus ficheros. Genera en el equipo infectado los ficheros Zsydll.Dll y Zsyhide.Dll en la subcarpeta system de la carpeta de Windows. Crea también un fichero llamado 20060426.bak, con el siguiente icono:

Para asegurar su ejecución cada vez que arranque Windows, Gusi.B crea una entrada de registro en la clave AppInit_DLLs, así como varias entradas en HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon\ Notify\ zsydll

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de virus