Notícias
Abril 2007
Esta semana ha habido un peligroso ataque combinado llevado a cabo por Spamta.VK y Spamtaload.DT
El peligroso ataque combinado llevado a cabo por Spamta.VK y Spamtaload.DT fue una de las principales preocupaciones de la semana en PandaLabs. El primero es un gusano diseñado para conectarse a diversos servidores y enviar correos electrónicos de forma masiva. Esos correos adjuntan un archivo, generalmente un ejecutable, que esconde una copia del troyano Spamtaload.DT. Cuando este troyano infecta un ordenador, descarga una copia del gusano Spamta.VK y el proceso vuelve a comenzar.
“Estos ataques combinados aseguran una mayor distribución de los ejemplares. En este caso, las propiedades de distribución del gusano son aprovechadas para difundir un troyano. Este ataque llegó a representar hasta el 80% de los avisos de malware en circulación recibidos por hora en PandaLabs”, explica Luis Corrons, Director Técnico de PandaLabs.
Spamtaload.DT muestra un mensaje de error cada vez que es ejecutado. El icono del archivo que lo esconde es el de un archivo de texto. Spamta.VK, por su parte, se descarga varios ficheros maliciosos de la web. Además, como ya se ha dicho, se conecta a varios servidores para enviar correos masivos y continuar con la propagación de ambos ejemplares.
Ldpinch.AAI es un troyano diseñado para robar contraseñas de diferentes tipos de programas: clientes de correo, navegadores, clientes FTP, etcétera. Para ello, el troyano lee los archivos de configuración y entradas del registro de esos programas.
Ldpinch.AAI también roba datos de las conexiones telefónicas a Internet configuradas en el equipo, así como de los procesos activos. Toda esa información es enviada al creador del malware a través de un formulario alojado en una página web.
Para poder enviar toda esa información, este troyano es capaz de impedir el correcto funcionamiento de ciertos cortafuegos.
El gusano Grum.A se propaga en correos que ofrecen una supuesta beta de Internet Explorer 7. El correo presenta una imagen de gran tamaño que, supuestamente, conduce a la descarga de esa beta. Al pinchar en ella, los usuarios se estarán descargando este gusano.
Después de que se ha ejecutado, el fichero malicioso se borra. Este gusano infecta documentos ejecutables (.exe). Además, crea copias de esos ficheros con el mismo nombre y la extensión “.rgn”, para dificultar más su eliminación del sistema.
Una funcionalidad peligrosa de Grum.A es la de ocultar sus procesos con funcionalidades rootkit. Esto dificulta su detección por parte de las soluciones de seguridad. Además, para ocultarse aún más, este gusano intercepta distintas DLLs del sistema, y se copia en otras (system.dll, ntdll.dll, kernel32.dll, etc.) para ocultar sus acciones maliciosas.
Grum.A también está diseñado para abrir una puerta trasera en los ordenadores infectados. De esta manera, un atacante puede acceder y controlar ese ordenador de manera remota. Además, este gusano se conecta a una dirección web para descargar una actualización de sí mismo.
Esta semana, además, Microsoft ha publicado un parche de seguridad extraordinario para resolver la vulnerabilidad en los archivos de cursores animados (.ANI). Esta vulnerabilidad afecta a Windows Vista, XP y Server 2003.
La vulnerabilidad se aprovecha mediante una página web especialmente creada para ello. Los atacantes han de convencer al usuario de que visite esa página para poder aprovechar el fallo en el sistema. Una vez lo hayan logrado, podrán controlar el ordenador afectado de manera remota con los mismos privilegios que el usuario que haya iniciado la sesión. Esto es especialmente peligroso si el usuario tiene privilegios de administrador. En este caso, los atacantes gozarán de un control total del ordenador.
Puede obtener más información sobre esta vulnerabilidad y descargarse el parche de seguridad en esta dirección: http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx