Informe semanal de Panda software sobre virus e intrusos

Esta semana los gusanos Oscarbot.IV, Peerbot.B y Netsad.B centran la atención del presente informe semanal de PandaLabs.

Oscarbot.IV es un gusano que abre varios puertos de comunicaciones en el equipo infectado, lo que permite a un atacante acceder de forma remota al sistema. Además, libera en el equipo el troyano Protestor.A, el cual permite realizar capturas de pantalla y robar información del usuario. Oscarbot.IV se propaga a través de la aplicación de mensajería instantánea America On Line Instant Messenger, enviando mensajes a todos los contactos activos del usuario. Tras ser ejecutado, se instala en el sistema como un servicio denominado “Windows Genuine Advantage Validation Notification“, para intentar hacerse pasar por el servicio anti-piratería de Microsoft, y para asegurar su ejecución en cada arranque del sistema operativo.

Peerbot.B es un gusano que posee capacidades backdoor, lo que le permite abrir un puerto para recibir comandos de control de un atacante a través de IRC. Además es capaz de robar información de las bases de datos SQL Server o Mysql que encuentre en el ordenador, para luego enviarla por correo electrónico. Al ser ejecutado, el gusano crea en el sistema varios ficheros, como Taskdrv.exe (una copia del gusano) y Libmysql.dll, biblioteca perteneciente a la base de datos Mysql. Peerbot.B se propaga tanto por correo electrónico como a través de programas P2P, introduciendo en las carpetas compartidas de dichos programas gran cantidad de ficheros con nombres relativos a cracks para juegos y aplicaciones conocidas, entre otros, de tal forma que otro usuario del programa P2P puede encontrar los ficheros infectados entre sus búsquedas. Para impedir su detección, Peerbot.B finaliza una larga lista de procesos relacionados principalmente con herramientas de seguridad, firewalls, e incluso otro malware. Además, modifica el fichero hosts para bloquear el acceso a Internet a páginas de compañias de seguridad.

Netsad.B es un gusano que se propaga como un fichero adjunto de correo electrónico, utilizando mensajes como “compartir ficheros es la esencia de vivir”, entre otros. También aprovecha como vector varias aplicaciones P2P, como Kazaa o Emule, introduciendo copias de sí mismo en las carpetas compartidas de cada programa para que puedan ser descargadas por otros usuarios. Netsad.B necesita para funcionar que el ordenador tenga instalado el soporte de Microsoft .NET framework 2.0. Tras ser ejecutado, crea en la carpeta del sistema de Windows un fichero llamado winservices.cab.bak.exe, que es una copia del gusano. En el resto de unidades del sistema, crea copias con nombres relacionados con antivirus, entre otros. Para poder permanecer oculto, el gusano finaliza una serie de procesos relacionados con la seguridad, como antivirus y firewalls, lo que hace al equipo infectado vulnerable a posteriores ataques de otros códigos maliciosos.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de virus

Conoce más de nuestra compañía en: http://www.pandasoftware.es/sobre_panda/companyprofile/15aniversario.asp