Los virus más letales

Sasser.F, Cycle.A, Bagle.AC, Sober.G y Wallon.A, y Qhost.gen centran la atención del informe sobre virus e intrusos de Panda. Sasser.F se difunde a través de Internet, aprovechándose para ello de la vulnerabilidad LSASS. En el equipo al que afecta provoca un desbordamiento de buffer en el programa LSASS.EXE, el reinicio del ordenador y la aparición en pantalla de un mensaje. Como las otras variantes de Sasser aparecidas con anterioridad, la F se propaga de manera automática en ordenadores con Windows XP/2000. También funciona en el resto de sistemas operativos Windows, si el archivo que lo contiene es ejecutado por un usuario malicioso.

Como el código malicioso citado anteriormente, Cycle.A también se propaga a través de Internet, explotando la vulnerabilidad LSASS y provocando el reinicio del ordenador afectado. A su vez, finaliza los procesos correspondientes a los gusanos Blaster, Sasser.A, Sasser.B, Sasser.C y Sasser.D, y realiza ataques de denegación de servicio contra varios sitios web, cuando la fecha del sistema no se encuentra entre el 1 y el 18 de mayo, ambos inclusive.

El tercer gusano es Bagle.AC, que finaliza procesos correspondientes a diversas aplicaciones de seguridad, como programas antivirus y firewalls, así como diferentes gusanos. Además, intenta conectarse a través del puerto 14441 a varias páginas web, que albergan un script PHP, con el objetivo de notificar a su autor que el ordenador ha sido afectado.

Sober.G, por su parte, es un gusano que se propaga a través del correo electrónico en un mensaje escrito en inglés o alemán, dependiendo de la extensión del dominio de la dirección de correo del usuario. En el equipo al que afecta busca, en ficheros que tienen determinadas extensiones, direcciones de correo electrónico, a las que se envía empleando su propio motor SMTP.

El quinto gusano del informe es Wallon.A, que se descarga en el ordenador aprovechándose para ello de la vulnerabilidad Exploit/MIE.CHM. El proceso que realiza para difundirse es el siguiente: el usuario recibe un e-mail que contiene un enlace a una determinada página web. Si el usuario visita la referida página, Wallon.A se descarga en el equipo.

Wallon.A recoge todos los contactos que encuentra en la libreta de direcciones de Windows y los envía a una dirección de correo electrónico. Asimismo, este gusano cambia la página de inicio del navegador Internet Explorer y, si la Libreta de direcciones de Windows se encuentra vacía, muestra en pantalla un mensaje de error.

Finalizamos el informe de hoy con Qhost.gen, que es una detección genérica de ficheros HOSTS modificados por varios ejemplares de malware, entre los que se encuentran diferentes variantes del Gaobot. El citado fichero contiene una serie de líneas que son las primeras que Windows utiliza para la resolución de nombres a direcciones IP (antes que otros servicios tales como WINS o DNS).

Los ficheros HOSTS son modificados por el citado malware de tal forma que asocian una lista de direcciones web a la dirección IP 127.0.0.1, consiguiendo así que las direcciones incluidas en dicha lista sean inaccesibles. Las referidas páginas web suelen pertenecer a compañías que comercializan software de seguridad como, por ejemplo, soluciones antimalware. Por tal motivo, el usuario cuyo equipo haya resultado afectado por Qhost.gen no podría acceder a estas páginas y consultar información, actualizar su solución, etc.