|

Tres nuevos gusanos amenazan a los usuarios de mensajería instantánea, mientras la ciberguerra entre autores de virus continúa

07/03/2005. -Fatso.A, Kelvir.B y Kelvir.C se propagan a través de MSN Messenger.
Los dos últimos, además, descargan y ejecutan en los equipos variantes de las familias de troyanos Gaobot o Sdbot, que permiten el control remoto de los ordenadores afectados
-Fatso.A incluye un texto respondiendo al mensaje que mostraba el gusano Assiral.A, que hacía alusión a la familia de gusanos Bropia
-Ante la más que previsible aparición de nuevos códigos maliciosos que hagan uso de mensajería instantánea para propagarse, Panda Software recomienda extremar las precauciones con los mensajes recibidos a través de este medio
Los creadores de virus siguen revelando su enorme interés por la mensajería instantánea como vía para la propagación rápida de códigos maliciosos. PandaLabs ha detectado la aparición de tres nuevos gusanos -Kelvir.B, Kelvir.C y Fatso.A- diseñados para distribuirse rápidamente a través de la aplicación MSN Messenger.

Los nuevos gusanos Kelvir llegan al ordenador en mensajes con textos como: “omg this is funny!” (Kelvir.B)o “lol! see it! u'll like it”(Kelvir.C), e incluyen un link a una dirección de Internet. En caso de que el usuario acceda a esta última, se descargan e instalan archivos conteniendo el código de los gusanos. Éstos envían nuevos mensajes a las entradas que figuran en la lista de contactos de MSN Messenger. Al mismo tiempo, descargan en el sistema -desde otra dirección web- variantes de los troyanos Gaobot o Sdbot que, a través de canales de chat IRC, permiten a un atacante hacerse con el control remoto del sistema afectado. Es importante señalar que todas las páginas de Internet desde las que se descargan los gusanos Kelvir, los troyanos Sdbot, o Gaobot, ya han sido bloqueadas, lo que impide que sigan distribuyéndose. Sin embargo, mientras las páginas han estado operativas, la red internacional de servicio de Soporte Técnico de Panda Software ha detectado una amplia propagación de Kelvir.B y Kelvir.C en los equipos de usuarios de todo el mundo.

El gusano Fatso.A envía mensajes con links hacia una página desde la que se descarga y ejecuta un archivo que contiene su propio código. Una vez en el equipo, se envía a todos los contactos de MSN Messenger y descarga otros ficheros en el directorio raíz del sistema. Éstos tienen nombres tales como “Annoying crazy frog getting killed.pif”, “Crazy frog gets killed by train!.pif” o “Fat Elvis! lol.pif”. Además, este gusano también es capaz de propagarse a través de aplicaciones P2P tipo KaZaA. Para ello, crea archivos con copias de sí mismo en los directorios compartidos que utilizan este tipo de programas.

Fatso.A también finaliza los procesos en memoria de varias aplicaciones de seguridad informática, dejando el ordenador desprotegido frente a otros posibles ataques.

Por otra parte, Fatso.A continúa la ciberguerra entre autores de virus que se inició con la aparición del gusano Assiral.A, y que mostraba un texto en el que atacaba a los gusanos Bropia. En contestación a ello, Fatso.A crea en los sistemas a los que afecta un archivo llamado “Message to n00b LARISSA.txt”, y que contiene un mensaje poco amistoso hacía el autor de Assiral, firmado por alguien que se hace llamar Skydevil.

Luis Corrons, director de PandaLabs, advierte: “Es más que probable que en las próximas horas aparezcan nuevos gusanos que hagan uso de MSN Messenger, por lo que deben extremarse las precauciones a la hora de manejar los mensajes recibidos a través de este medio. La situación para los usuarios de aplicaciones de mensajería instantánea es cada vez más peligrosa. A los nuevos códigos maliciosos hay que unir otras 20 variantes del gusano Bropia y dos del gusano Stang detectadas en los últimos días, y que también se propagan usando el mismo medio. Por otra parte”, añade, “hay que destacar, además del creciente interés de los ciberdelincuentes por la mensajería instantánea, la tendencia de realizar ataques combinados. Por ejemplo, el objetivo de los nuevos gusanos Kelvir no es solamente propagarse lo más ampliamente posible, sino instalar en los ordenadores otro malware. Estos pueden servir para llevar a cabo todo tipo de acciones, como la realización de estafas online utilizando datos confidenciales robados en las máquinas afectadas”.

Ante la posibilidad de un encuentro con algún código malicioso que se propague utilizando mensajería instantánea, Panda Software recomienda utilizar un software antimalware adecuado y mantenerlo siempre actualizado, así como extremar las precauciones con los mensajes recibidos, sea cual sea su procedencia. Los clientes de Panda Software ya tienen a su disposición las correspondientes actualizaciones para la detección y desinfección tanto de Kelvir.B, Kelvir.C y Fatso.A, como del resto de códigos maliciosos que hacen uso de la mensajería instantánea para propagarse.

Asimismo, los clientes de Panda Software ya tienen disponibles las actualizaciones para instalar las nuevas Tecnologías TruPreventTM junto con su antivirus y estar, así, protegidos de forma preventiva frente a virus e intrusos desconocidos. Por otro lado, para usuarios que cuenten con otros antivirus del mercado, Panda TruPreventTM Personal es la solución idónea, ya que es compatible y complementaria a éstos y proporciona una segunda línea de defensa y una protección preventiva que actúa mientras el antivirus es actualizado, disminuyendo el riesgo de ser infectados. Más información sobre las Tecnologías TruPreventTM en http://www.pandasoftware.es/truprevent

Para la detección y desinfección gratuita de los ordenadores, los usuarios pueden utilizar el antivirus on-line Panda ActiveScan, disponible en http://www.pandasoftware.es

Más información sobre los códigos maliciosos mencionados en la Enciclopedia de Virus de Panda Software.


Fatso.A
Nombre común:
Fatso.A
Nombre técnico:
W32/Fatso.A.worm
Peligrosidad:
Media
Alias:
W32/Assiral.C.worm, W32/Sumom-A, W32/Crog.worm, IM-Worm.Sumom.a, Win32.Worm.Sumom.A

Finaliza procesos pertenecientes a diversas herramientas de seguridad, lo que deja al ordenador vulnerable frente al ataque de otro malware, y evita el acceso a las páginas web de varias compañías antivirus. Se propaga a través de MSN Messenger, programas P2P y de CD-ROMs.
Plataformas que infecta:
Windows XP/2000/NT/ME/98/95
Fecha de aparición:
07/03/2005
¿Está en circulación?
Si
Protección proactiva:
Sí, mediante las Tecnologías TruPrevent

Descripción Breve
Fatso.A es un gusano que finaliza procesos pertenecientes a diversas herramientas de seguridad, como por ejemplo programas antivirus y cortafuegos, entre otros. Esto deja al ordenador afectado vulnerable frente al ataque de otro malware.
Este gusano también evita el acceso a las páginas web de varias compañías antivirus.
Fatso.A se propaga a través del programa de mensajería instantánea MSN Messenger y de programas de intercambio de archivos punto a punto (P2P). También modifica la configuración del ordenador, de modo que es automáticamente copiado a todos los CD-ROMs que se graban en el ordenador.
Síntomas Visibles
Fatso.A es fácil de reconocer una vez ha afectado el ordenador, ya que abre el Bloc de Notas y muestra el siguiente texto cuando es ejecutado:
Hey LARISSA fuck off, you fucking n00b!.. Bla bla to your fucking
Saving the world from Bropia, the world n33ds saving from you!

'-S-K-Y-'-D-E-V-I-L-'


Nombre común:
Kelvir.B
Nombre técnico:
W32/Kelvir.B.worm
Peligrosidad:
Media

Descarga una copia del gusano Gaobot.BKY en el ordenador. Se propaga a través del programa MSN Messenger.
Plataformas que infecta:
Windows 2003/XP/2000/NT/ME/98/95
Fecha de aparición:
07/03/2005
¿Está en circulación?
Si
Descripción Breve
Kelvir.B es un gusano que descarga en el ordenador afectado una copia de otro gusano, detectado como W32/Gaobot.BKY.worm.
Kelvir.B se propaga a través del programa MSN Messenger, en un mensaje instantáneo que contiene un enlace. Cuando el usuario pulsa sobre dicho enlace, se descarga una copia de Kelvir.B.
Síntomas Visibles
Kelvir.B es fácil de reconocer a simple vista, ya que es descargado en el ordenador cuando el usuario pulsa sobre un enlace que le llega en un mensaje de MSN Messenger con las siguientes características:
Contenido:omg this is funny! net/cute.pif">http://jose.rivera4.homenet/cute.pif


Kelvir.C
Peligrosidad:

Daño:

Propagación:





Nombre común:
Kelvir.C
Nombre técnico:
W32/Kelvir.C.worm
Peligrosidad:
Media
Alias:
IM-Worm.Win32,Kelvir.b, WORM_KELVIR.B
Tipo:
Gusano
Efectos:

Descarga una copia del gusano Sdbot.CEX en el ordenador. Se propaga a través del programa MSN Messenger.
Plataformas que infecta:
Windows 2003/XP/2000/NT/ME/98/95
Fecha de aparición:
07/03/2005
¿Está en circulación?
Si
Descripción Breve
Kelvir.C es un gusano que descarga en el ordenador afectado una copia del backdoor detectado como Bck/Sdbot.CEX.
Kelvir.C se propaga a través del programa MSN Messenger, en un mensaje instantáneo que contiene un enlace. Cuando el usuario pulsa sobre dicho enlace, se descarga una copia de Kelvir.C.
Síntomas Visibles
Kelvir.C es fácil de reconocer a simple vista, ya que es descargado en el ordenador cuando el usuario pulsa sobre un enlace que le llega en un mensaje de MSN Messenger con las siguientes características:
Contenido:http://home.earthlinkery10/omg.piflol! see it! u'll like it

Bookmark and Share

0 comentarios: