Como cada semana, os informamos de los últimos virus y amenazas a través de la información que nos proporciona Panda software;
Madrid, 8 de septiembre de 2005 – El informe de esta semana centra su atención en un gusano -SdBot.EXG-, en un troyano llamado Cimuz.X, y en dos herramientas de hacking denominadas GuardMon y SpyEx. (sigue)
SdBot.EXG es un gusano que para propagarse se aprovecha de los cinco problemas de seguridad que se mencionan a continuación, junto al número de boletín en el que Microsoft ha informado de ellos: Desbordamiento de Buffer en SQL Server 2000 (MS02-039); vulnerabilidad en WorKStation Service (MS03-049); LSASS (MS04-011); RPC-DCOM (MS04-012); y Ejecución remota de código en Plug and Play -PnP-(MS05-039). Además, para poder enviarse este gusano posee su propio servidor de FTP y de TFTP.
Sdbot.EXG se conecta con determinados servidores de IRC, de los que puede recibir comandos como autoactualizarse, descargar y ejecutar ficheros, consultar la lista de recursos compartidos y añadir o quitar algunos, etc.
Cimuz.X, por su parte, es un troyano que una vez instalado en un equipo lleva a cabo entre otras, las siguientes acciones:
– Abre un puerto aleatorio, permitiendo que el ordenador sea utilizado como proxy HTTP.
– Ejecuta scripts PHP, que se encuentran en varias direcciones web, para así notificar a su autor que ha afectado al PC.
– Para evitar los cortafuegos inyecta su proceso en procesos de otros programas que no tienen restricciones a Internet. Además, añade su proceso asociado a la lista de aplicaciones autorizadas en el cortafuegos de Windows XP.
– Crea varias entradas en el Registro de Windows, con distintos objetivos (ejecutarse siempre que se inicia Windows, comprobar si ya había afectado previamente el ordenador, etc.).
Cimuz.X utiliza varios archivos -concretamente DLL o Librerías de Enlace Dinámico- y código que no son propios porque, probablemente, su autor ha reutilizado componentes de otros troyanos.
El siguiente ejemplar de malware al que nos referimos es GuardMon. Se trata de una herramienta de hacking que registra las pulsaciones de teclado introducidas por el usuario, por lo que puede utilizarse para recoger información confidencial -como contraseñas-, con el peligro que ello implica.
En el equipo al que afecta, GuardMon crea el archivo GPS.DLL, que exporta la función WSPStartup que controla el proceso de monitorización de las pulsaciones de teclado.
Finalizamos el presente informe con SpyEx, herramienta de hacking que monitoriza las pulsaciones que realiza el usuario, las aplicaciones que se ejecutan en el PC y la actividad que se produce al navegar. Posteriormente, la información que recopila la envía por correo electrónico en un fichero adjunto, a una dirección de correo especificada durante el proceso de instalación.
