El informe mundial de virus de Panda Software de esta semana, se caracteriza por la variedad y gran cantidad de ejemplares de los que se ocupa, concretamente tres gusanos, un ejemplar de spyware, tres troyanos, y una herramienta de hacking.
P2load.A es un gusano que se propaga a través de los programas de intercambio de archivos punto a punto (P2P) Shareaza e Imesh. En los equipos que afecta lleva a cabo varias acciones, siendo la más destacable la modificación del archivo HOSTS para que cuando el
usuario solicite visitar la página de Google sea redireccionado a otra página, exactamente igual que la de Google, pero ajena a la compañía, alojada en un
servidor en Alemania. La copia de la página de Google es exacta a la legítima, e incluye soporte para 17 idiomas de Google.
En la práctica, cuando el usuario desee llevar a cabo una búsqueda en la citada falsa página de Google, los resultados que obtenga se mostrarán correctamente o con ligeras variaciones respecto a cómo los mostraría Google. Lo que sí cambia son los “enlaces patrocinados” que, en un uso normal, aparecen en la
parte alta de los resultados y corresponden a aquellas compañías que pagan por este servicio. En su lugar, con determinadas búsquedas, los usuarios cuyos equipos hayan resultado afectados por P2load verán otras, especificadas por el creador del malware, con el aumento de tráfico que supone para estas páginas.
Por su parte, Mytob.JN, que se propaga a través del correo electrónico en un mensaje escrito en inglés y de características variables. Mytob.JN abre un puerto TCP para conectarse a un servidor y recibir órdenes de control remoto que llevar a cabo en el PC afectado. Además, este gusano finaliza procesos pertenecientes a diversas herramientas de seguridad.
En tanto, el tercer y último gusano de este informe es Bagle.EI, el cual destaca porque envía una copia de una variante del troyano Mitglieder a todas las direcciones de correo electrónico que no contengan determinadas cadenas de texto y que consigue recoger de determinados
sitios Web. Asimismo, este ejemplar de malware evita que algunas variantes de Netsky se ejecuten cuando se inicia Windows.
Spytrooper, por su parte, es un código malicioso de tipo adware que es descargado automáticamente cuando se visitan sitios con contenido para adultos o sitios Web de software pirateado, que utilizan exploits para afectar computadores. Igualmente puede ser descargado después de que aparezca una ventana emergente en pantalla, alertando de la presencia de spyware en el computador, o si el usuario lo descarga voluntariamente de un determinado sitio Web.
Spytrooper advierte al usuario de que su equipo se encuentra afectado por amenazas -que realmente no existen-, al tiempo de que le informa de que únicamente pueden ser eliminadas después de adquirir la versión completa del programa. Cuando se compra la citada versión de él y se registra, las "presuntas" amenazas dejan de ser detectadas y el computador queda "supuestamente" limpio.
El presente informe da cuenta, además, de la aparición de tres nuevos troyanos. El primero de ellos es Fantibag.A, el cual impide el acceso a una serie de sitios Web, que en su mayoría pertenecen a compañías antivirus. Para conseguirlo, utiliza un método basado en el empleo de funciones API correspondientes a RRAS (Routing and Remote Access Service), que proporcionan capacidades de filtrado de paquetes.
Banker.APM, por su parte, es un troyano que tiene como objetivo la obtención de información confidencial -como contraseñas-, para después enviarla a su autor. Para conseguirlo intenta redirigir los sitios Web correspondientes a varias entidades bancarias hacia un determinado servidor que alberga páginas que imitan las originales, para que el usuario proporcione datos personales cuando las visite.
El tercer troyano que mencionamos es Mitglieder.EV, que ataca determinadas herramientas de seguridad como, por ejemplo, programas antivirus y cortafuegos pertenecientes a diversas compañíass. En concreto, borra archivos fundamentales para su funcionamiento y entradas del Registro de Windows que les permiten ejecutarse automáticamente, detiene los servicios asociados y finaliza los procesos asociados a los programas que proveen actualizaciones de antivirus.
Por ultimo, nos encontramos con la herramienta de hacking denominada Keyspy.B, que registra las pulsaciones de teclado realizadas en el equipo al que afecta, almacenándolas en un archivo que posteriormente es enviado a través del correo electrónico. Además, puede ejecutar o parar la ejecución de cualquier programa y monitorizar los sitios Web a los que se accede.
Más sinopsis sobre Virus en plataformas P2P