VirusAlerts, Informe Semanal (1°Informe)
Informe Semanal de Arceo Virus Alerts
(Powered By: Panda Labs® & Arceo Corporation Labs®)
Madrid/Tlajomulco, 13 Mayo del 2007,
Tres troyanos, Alanchum.VL, Downloader.OHC y Cimuz.FH, y un gusano que se propaga a través de mensajería instantánea, MSNDiablo.A, centran este informe semanal de ArceoLabs.
El troyano Alanchum.VL ha sido el malware más destacado de la semana. Este código malicioso llegó a suponer el 62% de los avisos de malware en circulación recibidos por hora en ArceoLabs.
“Como la mayoría de troyanos de esta familia, Alanchum.VL utiliza técnicas de ingeniería social para distribuirse. Para ello, emplean asuntos noticiosos (una variante muy extendida de Alanchum utilizó como reclamo la supuesta muerte de Fidel Castro) o atractivos (productos gratuitos, pornografía, etc.) que inciten al usuario a abrir el archivo infectado con el malware”, explica Luis Corrons.
Alanchum.VL está diseñado para descargar otro troyano, Cimuz.BE, en el ordenador. Éste se encargará de registrar las páginas web que visite el usuario. Cuando visite alguna cuyo contenido pueda ser “rentable” (bancos, páginas de webmail, formularios online de cualquier tipo,…), Cimuz.BE capturará la información introducida por el usuario y se la enviará a su creador.
Precisamente, una nueva variante de Cimuz ha sido detectada esta semana por PandaLabs. Se trata de Cimuz.FH. Este troyano suelta una DLL en el navegador y la registra como un BHO (Browser Helper Object u objeto de ayuda para el navegador). Esto le permite descargar actualizaciones de su código desde Internet sin que el usuario se dé cuenta.
Además, Cimuz.FH roba datos del ordenador del usuario (IP, claves,…). Esos datos son almacenados en un fichero que crea el propio troyano y que luego envía a su creador conectándose a un servidor vía HTTP.
El tercer troyano de este informe es Downloader.OHC. “En realidad, casi podría decirse que se trata de tres malware en uno, ya que lo primero que hace cuando infecta un ordenador es descargar otros dos códigos maliciosos”, comenta Luis Corrons.
Esos dos códigos maliciosos son el virus Grum.D.drp y el spyware AdClicker. Además, descarga un fichero PHP utilizado para enviar información mediante una consulta HTTP GET.
Grum.D,drp integra un servidor de correo que puede ser utilizado para enviar spam. Además, se conecta a otro servidor online del cuál puede recibir plantillas de spam, actualizaciones de su código, etc.
El spyware AdClicker, por su parte, realiza varias modificaciones en el registro de Windows y en las DLL del sistema. Además, se conecta a cierta URL desde la que descarga más malware en el ordenador infectado.
“Downloader.OHC es un buen ejemplo del intento de muchos creadores de malware de rentabilizar sus infecciones. Basta con hacer llegar un solo código malicioso para aumentar las posibilidades de éxito, en este caso, descargando en el ordenador más ejemplares de malware que lleven a cabo multitud de acciones maliciosas distintas”, afirma Luis Corrons.
El gusano MSNDiablo.A utiliza técnicas de ingeniería social para propagarse a través del programa de mensajería instantánea MSN Messenger.
En este caso, para engañar a los usuarios, el gusano envía un mensaje a todos los contactos del usuario que estén conectados a MSN Messenger.
Este mensaje comenta una supuesta divertida animación e invita a los contactos a visualizarla pinchando en un link. Cuando los usuarios se descargan y ejecutan la animación desde esa URL, lo que realmente hacen es introducir en su máquina a MSNDiablo.A.
Cuando infecta una nueva máquina, este gusano vuelve a repetir la operación, enviando el mismo texto por mensajería instantánea a todos los contactos conectados en ese momento.
MSNDiablo.A intenta conectarse a distintas URL desde las que puede descargarse distintos tipos de archivo, incluido malware. También está diseñado para realizar varias modificaciones en el registro de Windows. Una de ellas le permite ejecutarse con cada inicio de sesión.
Cuando se ejecuta, MSNDiablo.A muestra un mensaje de error. Además, impide la apertura del administrador de tareas y del editor de registro de Windows.
Además, esta semana Microsoft ha publicado siete parches de seguridad, del MS07-023 al MS07-029. Todos ellos resuelven fallos que han sido clasificados como críticos y que podrían permitir la ejecución de código remoto.
Las vulnerabilidades afectan a Microsoft Office, Microsoft Windows y CAPICOM. Todos estos parches se encuentran disponibles en la dirección http://www.microsoft.com/spain/athome/security/update/bulletins/200705.mspx
Los usuarios que deseen comprobar si algún código malicioso ha atacado su ordenador pueden utilizar, de manera completamente gratuita, las soluciones online TotalScan o NanoScan beta, que se encuentran disponibles en la dirección http://www.infectedornot.com/
Madrid/Tlajomulco, 13 Mayo del 2007,
Tres troyanos, Alanchum.VL, Downloader.OHC y Cimuz.FH, y un gusano que se propaga a través de mensajería instantánea, MSNDiablo.A, centran este informe semanal de ArceoLabs.
El troyano Alanchum.VL ha sido el malware más destacado de la semana. Este código malicioso llegó a suponer el 62% de los avisos de malware en circulación recibidos por hora en ArceoLabs.
“Como la mayoría de troyanos de esta familia, Alanchum.VL utiliza técnicas de ingeniería social para distribuirse. Para ello, emplean asuntos noticiosos (una variante muy extendida de Alanchum utilizó como reclamo la supuesta muerte de Fidel Castro) o atractivos (productos gratuitos, pornografía, etc.) que inciten al usuario a abrir el archivo infectado con el malware”, explica Luis Corrons.
Alanchum.VL está diseñado para descargar otro troyano, Cimuz.BE, en el ordenador. Éste se encargará de registrar las páginas web que visite el usuario. Cuando visite alguna cuyo contenido pueda ser “rentable” (bancos, páginas de webmail, formularios online de cualquier tipo,…), Cimuz.BE capturará la información introducida por el usuario y se la enviará a su creador.
Precisamente, una nueva variante de Cimuz ha sido detectada esta semana por PandaLabs. Se trata de Cimuz.FH. Este troyano suelta una DLL en el navegador y la registra como un BHO (Browser Helper Object u objeto de ayuda para el navegador). Esto le permite descargar actualizaciones de su código desde Internet sin que el usuario se dé cuenta.
Además, Cimuz.FH roba datos del ordenador del usuario (IP, claves,…). Esos datos son almacenados en un fichero que crea el propio troyano y que luego envía a su creador conectándose a un servidor vía HTTP.
El tercer troyano de este informe es Downloader.OHC. “En realidad, casi podría decirse que se trata de tres malware en uno, ya que lo primero que hace cuando infecta un ordenador es descargar otros dos códigos maliciosos”, comenta Luis Corrons.
Esos dos códigos maliciosos son el virus Grum.D.drp y el spyware AdClicker. Además, descarga un fichero PHP utilizado para enviar información mediante una consulta HTTP GET.
Grum.D,drp integra un servidor de correo que puede ser utilizado para enviar spam. Además, se conecta a otro servidor online del cuál puede recibir plantillas de spam, actualizaciones de su código, etc.
El spyware AdClicker, por su parte, realiza varias modificaciones en el registro de Windows y en las DLL del sistema. Además, se conecta a cierta URL desde la que descarga más malware en el ordenador infectado.
“Downloader.OHC es un buen ejemplo del intento de muchos creadores de malware de rentabilizar sus infecciones. Basta con hacer llegar un solo código malicioso para aumentar las posibilidades de éxito, en este caso, descargando en el ordenador más ejemplares de malware que lleven a cabo multitud de acciones maliciosas distintas”, afirma Luis Corrons.
El gusano MSNDiablo.A utiliza técnicas de ingeniería social para propagarse a través del programa de mensajería instantánea MSN Messenger.
En este caso, para engañar a los usuarios, el gusano envía un mensaje a todos los contactos del usuario que estén conectados a MSN Messenger.
Este mensaje comenta una supuesta divertida animación e invita a los contactos a visualizarla pinchando en un link. Cuando los usuarios se descargan y ejecutan la animación desde esa URL, lo que realmente hacen es introducir en su máquina a MSNDiablo.A.
Cuando infecta una nueva máquina, este gusano vuelve a repetir la operación, enviando el mismo texto por mensajería instantánea a todos los contactos conectados en ese momento.
MSNDiablo.A intenta conectarse a distintas URL desde las que puede descargarse distintos tipos de archivo, incluido malware. También está diseñado para realizar varias modificaciones en el registro de Windows. Una de ellas le permite ejecutarse con cada inicio de sesión.
Cuando se ejecuta, MSNDiablo.A muestra un mensaje de error. Además, impide la apertura del administrador de tareas y del editor de registro de Windows.
Además, esta semana Microsoft ha publicado siete parches de seguridad, del MS07-023 al MS07-029. Todos ellos resuelven fallos que han sido clasificados como críticos y que podrían permitir la ejecución de código remoto.
Las vulnerabilidades afectan a Microsoft Office, Microsoft Windows y CAPICOM. Todos estos parches se encuentran disponibles en la dirección http://www.microsoft.com/spain/athome/security/update/bulletins/200705.mspx
Los usuarios que deseen comprobar si algún código malicioso ha atacado su ordenador pueden utilizar, de manera completamente gratuita, las soluciones online TotalScan o NanoScan beta, que se encuentran disponibles en la dirección http://www.infectedornot.com/
Entradas
No hay comentarios.:
Publicar un comentario