Cinco gusanos -Zafi.D, Atak.H, Atak.I, Atak.J y Janx.A-, y el troyano HideProc.B protagonizan el presente informe.

A principios de esta semana, Zafi.D se difundi? r?pidamente a un gran n?mero de equipos, en mensajes de correo electr?nico de caracter?sticas variables, que se hac?an pasar por felicitaciones navide?as. Es un gusano multiling?e, ya que es capaz de adaptar el idioma del texto que aparece en el e-mail en el que se manda, en funci?n del dominio de la direcci?n a la que se env?a. Adem?s, Zafi.D puede propagarse a trav?s de programas de intercambio de archivos punto a punto (P2P).

Cinco gusanos -Zafi.D, Atak.H, Atak.I, Atak.J y Janx.A-, y el troyano HideProc.B protagonizan el presente informe.

A principios de esta semana, Zafi.D se difundi? r?pidamente a un gran n?mero de equipos, en mensajes de correo electr?nico de caracter?sticas variables, que se hac?an pasar por felicitaciones navide?as. Es un gusano multiling?e, ya que es capaz de adaptar el idioma del texto que aparece en el e-mail en el que se manda, en funci?n del dominio de la direcci?n a la que se env?a. Adem?s, Zafi.D puede propagarse a trav?s de programas de intercambio de archivos punto a punto (P2P).

Zafi.D tiene caracter?sticas de backdoor, ya que abre el puerto 8181 y espera que un archivo -que generalmente es otro ejemplar de malware- sea transferido para, a continuaci?n, ejecutarlo. Asimismo, impide el acceso a aquellas aplicaciones que contengan las cadenas de texto regedit, msconfig y task. Tras afectar un PC, Zafi.D muestra en pantalla un mensaje de error.

Como Zafi.D, las variantes H, I y J de Atak tambi?n se propagan a trav?s de correo electr?nico, en mensajes que simulan ser felicitaciones navide?as. Llegan a los equipos en e-mails cuyo asunto es "Merry X-Mas!" o "Happy New Year!", mientras que en el cuerpo del mismo puede leerse "Happy New year and wish you good luck on next year!", o "Mery Chrismas & Happy New Year! 2005 will be the beginning!".

Los mensajes en los que se env?an Atak.H, Atak.I y Atak.J incluyen un archivo adjunto en formato .zip que, a su vez, contiene un fichero que puede tener por nombre bat, com, pif o scr. Si el usuario lo ejecuta, los gusanos generan copias de s? mismos en el directorio de sistema de Windows con el nombre dec25.exe. Al mismo tiempo, se env?an -utilizando su propio motor SMTP-, a todas las direcciones que encuentran en ficheros con determinadas extensiones que est?n almacenados en el ordenador.

Las tres citadas variantes de Atak son muy similares, y s?lo se diferencian en aspectos como el tama?o del fichero adjunto que tienen los mensajes de correo infectados. Por otra parte, debido a un fallo de programaci?n, Atak.J es incapaz de enviarse.

El quinto gusano al que nos referimos hoy es Janx.A, que se propaga a trav?s de Internet aprovech?ndose para ello de la vulnerabilidad LSASS. En concreto, se difunde de manera autom?tica en los equipos que tengan instalado Windows XP/2000, y no hayan sido convenientemente actualizados. En los restantes sistemas operativos de Windows tambi?n funciona, si el archivo que lo contiene es ejecutado.

Janx.A se conecta a un servidor de IRC, y espera ?rdenes de control que llevar a cabo en el ordenador al que ha afectado. Adem?s, instala un servidor FTP en el puerto 5533.

El troyano que analizamos en el presente informe es HideProc.B, que no se propaga autom?ticamente por sus propios medios, ya que para conseguirlo precisa la intervenci?n de un atacante. HideProc.B consiste en una DLL (Librer?a de Enlace Din?mico), que es utilizada por otro ejemplar de malware para ocultar la ejecuci?n de hasta dos procesos distintos.