Informe semanal de Panda software sobre virus e intrusos

Los troyanos Briz.I y Mitglieder.IZ, los gusanos Bagle.JG y BlackAngel.A y el spyware DigiKeyGen centran la atención del presente informe semanal de PandaLabs:

Briz.I es un troyano que ha sido utilizado para crear una red de robo de datos confidenciales, como claves bancarias o contraseñas. Requiere una acción del usuario para propagarse, como abrir ficheros adjuntos a correos electrónicos o descargados de Internet y redes P2P. También ha sido descubierto en determinadas páginas, principalmente de contenidos ilegales o pornográficos, las cuales redirigen al visitante a una página que descarga el fichero malicioso automáticamente a través de exploits. Una vez en el sistema se camufla bajo el nombre “iexplore.exe”, simulando ser el proceso de Internet Explorer. Desactiva los servicios de seguridad (firewall) de Windows y modifica el fichero “hosts” para impedir el acceso a páginas de compañías antivirus. Después descarga otro componente y se elimina a sí mismo. El componente descargado envía al atacante información de la máquina infectada, como dirección IP y país de origen. Instala después un complemento para capturar los datos que el usuario introduzca en formularios de Internet Explorer, como contraseñas o claves bancarias. Permite además usar la máquina infectada como pasarela para acceder a otros sitios web, enmascarando al atacante, y da acceso a los ficheros físicos del ordenador del usuario.

Mitglieder.IZ es un troyano que alcanza los sistemas gracias al gusano Bagle.JG y que además intenta descargar otros ficheros, probablemente actualizaciones del gusano, en el sistema afectado. Para ello se conecta a varios sitios web para buscar servidores de la red eDonkey, para luego introducir copias de si mismo en dicha red. Después intenta descargar otros ficheros que aparentan ser de tipo JPG o PHP, pero que en realidad son las actualizaciones de Bagle.JG antes comentadas. El troyano crea en el ordenador infectado una copia de sí mismo bajo el nombre Mdelk.exe. Genera después la clave de registro Hkey_Current_User\Software\Microsoft\Windows\CurrentVersion\Run que apunta al fichero creado mdelk.exe, para asegurarse su ejecución en cada arranque del sistema operativo.

Por su parte, Bagle.JG es un gusano que libera al troyano detectado como Mitglieder.IZ. Además, intenta reducir la seguridad del equipo infectado finalizando servicios relacionados con herramientas de seguridad, como antivirus y cortafuegos, entre otros. Bagle.JG se propaga a través del programa de redes P2P eDonkey, alojando copias de sí mismo utilizando los nombres de ficheros y servidores P2P obtenidos por Mitglieder.IZ, para que otros usuarios lo descarguen creyendo que es un fichero apetecible. Crea una entrada de registro para asegurar su ejecución en cada arranque, y otra en Hkey_Current_User\ Software\FirstrRun para marcar el ordenador y saber si ya está infectado.

BlackAngel.A es un gusano muy destructivo que intenta deshabilitar los procesos asociados a herramientas de seguridad, como programas antivirus o cortafuegos. Impide además la ejecución en los ordenadores infectados de ciertas herramientas de Windows, como el editor del registro y el administrador de tareas. Se transmite a través de MSN Messenger, simulando ser un fichero de Windows Media Player pero con otra extensión concatenada, que al ser ejecutado muestra un error en pantalla y reenvía una copia del gusano a todos los contactos del usuario activos en ese momento. La acción más destructiva que intenta este gusano es eliminar una serie de entradas de registro críticas de Windows, haciendo imposible arrancar posteriormente el sistema operativo.

DigiKeyGen es un adware alojado en varias páginas web que atrae a los usuarios ofreciéndoles las claves de acceso necesarias para acceder gratuitamente a contenidos pornográficos. Al ser ejecutado libera en el sistema un código llamado SpywareQuake, junto con una aplicación antispyware con el mismo nombre. El antispyware chantajea entonces al usuario informándole de que está infectado, ofreciendo como única solución para limpiar su equipo comprar la licencia de su programa. DigiKeyGen puede ser descargado desde varios sitios web de contenido para adultos, así como desde la página oficial del programa. Crea en el ordenador afectado el fichero regperf.exe en la carpeta de Windows, junto con otro fichero que cuenta las veces que se ha ejecutado el programa. Crea además un valor de registro en Hkey_Local_Machine\Software\Microsoft\Windows\Currentversion\ Policies\Explorer\ Run para dificultar su desinfección manual.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de virus