Un programa denominado Constructor/JPGDownloader, una herramienta de hacking denominada SentinelSteal, dos troyanos -Malam.A y Malam.B- y tres gusanos -Fightrub.A, Bagle.BA y Rayl.A- protagonizan el último informe del mes de septiembre.

Constructor/JPGDownloader es una aplicación que permite crear imágenes en formato JPG, que aprovechan una vulnerabilidad denominada "Desbordamiento de buffer en procesamiento JPEG". En la práctica, este problema de seguridad permite -cuando se abre una imagen con un programa vulnerable- descargar desde una dirección de Internet un archivo (que puede ser un virus, un gusano, un troyano, etc.) y ejecutarlo en el equipo.

Tras ejecutarse Constructor/JPGDownloader, aparece una pantalla en la que se le solicita al usuario malicioso que introduzca la URL desde la que debe descargarse el fichero a ejecutar. Si el usuario acepta, se generará un fichero en formato JPG que contiene la información necesaria para descargar y ejecutar un archivo que, como se ha mencionado antes, podría ser código malicioso (un gusano, un virus, etc.).

SentinelSteal, por su parte, es una herramienta de hacking que puede ser ejecutada de forma oculta, para que así el usuario cuyo equipo ha resultado afectado no perciba su presencia, ni las acciones que lleva a cabo, entre las que destacan las siguientes:

- Captura las pulsaciones de teclado realizadas por el usuario, incluidas las de los textos introducidos en mensajes de correo electrónico, conversaciones de chat, programas de mensajería instantánea, etc.

- Registra las páginas visitadas y es capaz de bloquear el acceso a determinadas Webs.

- Realiza capturas de la pantalla, a intervalos predeterminados.

SentinelSteal envía -por e-mail o por FTP- la información que obtiene, y posteriormente la borra. Otra característica reseñable de esta herramienta de hacking es que está protegido por contraseña.

Malam.A y Malam.B son dos troyanos que han sido enviados masivamente en mensajes de correo electrónico, que incluyen un enlace a una dirección web, que alberga un script. En la práctica, cuando el usuario accede a la dirección, el script instala un archivo ejecutable que descarga el principal componente de los citados troyanos en el PC.

En los equipos en los que se instala, Malam.A abre un puerto, a través del cual es posible el acceso para realizar acciones que pueden comprometer la confidencialidad de los datos del usuario o dificultar su trabajo. Adicionalmente, este troyano cambia la página de inicio del navegador Internet Explorer.

La variante B de Malam abre el puerto 9687 y hace que el ordenador afectado funcione como servidor proxy, actuando como intermediario entre el equipo del atacante y el sitio final al que éste se conecta para realizar diversas acciones (distribuir spam, acceder al PC para obtener información, etc.).

El primer gusano que analizamos hoy es Fightrub.A, que se propaga a través del correo electrónico -en un mensaje escrito en inglés y de características variables-,y de programas de intercambio de archivos punto a punto (P2P). Su presencia en un equipo es fácilmente reconocible, ya que tras ser ejecutado muestra en pantalla el siguiente texto: "Serial: 41191480 File crack".

El segundo gusano al que nos referimos es Bagle.BA, que ha sido enviado masivamente en un e-mail escrito en inglés, cuyo asunto es "photo-gallery! =)", e incluye un archivo adjunto llamado "FOTO.ZIP".

En el equipo al que afecta, Bagle.BA instala un keylogger -que Panda Software detecta como Application/Keyhook.A-, que registra todas las pulsaciones de teclado realizadas por el usuario. Además, también recoge otro tipo de información como, por ejemplo, datos del sistema, nombres de usuario y contraseñas de varios programas instalados y cuentas de acceso a Internet. La información que obtiene, la envía -a través del correo electrónico-, al autor de su código. Por último, también merece mencionarse que este gusano abre el puerto 2050 y permanece a la espera de conexiones remotas, a través de las cuales aceptará comandos de control.

Terminamos el informe de hoy con Rayl.A, gusano que se difunde a través del programa de mensajería instantánea MSN Messenger. En concreto, se recibe un mensaje con un enlace a una imagen, que está alojada en una página web. Cuando el usuario pulsa el enlace para abrir la imagen -que en realidad es un archivo HTM-, Rayl.A afecta al equipo. Además, este código malicioso intenta aprovechar la vulnerabilidad MhtRedir.gen para descargar y ejecutar otro malware en el ordenador.

Fuente de información : PandaSoftware