Cinco gusanos -Zafi.D,
Atak.H, Atak.I, Atak.J y Janx.A-, y el troyano HideProc.B protagonizan el
presente informe.
A principios de esta semana, Zafi.D se difundi? r?pidamente a un gran n?mero
de equipos, en mensajes de correo electr?nico de caracter?sticas variables,
que se hac?an pasar por felicitaciones navide?as. Es un gusano multiling?e,
ya que es capaz de adaptar el idioma del texto que aparece en el e-mail en el
que se manda, en funci?n del dominio de la direcci?n a la que se env?a. Adem?s,
Zafi.D puede propagarse a trav?s de programas de intercambio de archivos punto
a punto (P2P).
Cinco gusanos -Zafi.D,
Atak.H, Atak.I, Atak.J y Janx.A-, y el troyano HideProc.B protagonizan el
presente informe.
A principios de esta semana, Zafi.D se difundi? r?pidamente a un gran n?mero
de equipos, en mensajes de correo electr?nico de caracter?sticas variables,
que se hac?an pasar por felicitaciones navide?as. Es un gusano multiling?e,
ya que es capaz de adaptar el idioma del texto que aparece en el e-mail en el
que se manda, en funci?n del dominio de la direcci?n a la que se env?a. Adem?s,
Zafi.D puede propagarse a trav?s de programas de intercambio de archivos punto
a punto (P2P).
Zafi.D tiene caracter?sticas de backdoor, ya que abre el puerto 8181 y espera
que un archivo -que generalmente es otro ejemplar de malware- sea transferido
para, a continuaci?n, ejecutarlo. Asimismo, impide el acceso a aquellas
aplicaciones que contengan las cadenas de texto regedit, msconfig y task. Tras
afectar un PC, Zafi.D muestra en pantalla un mensaje de error.
Como Zafi.D, las variantes H, I y J de Atak tambi?n se propagan a trav?s de
correo electr?nico, en mensajes que simulan ser felicitaciones navide?as.
Llegan a los equipos en e-mails cuyo asunto es "Merry X-Mas!" o "Happy
New Year!", mientras que en el cuerpo del mismo puede leerse "Happy
New year and wish you good luck on next year!", o "Mery Chrismas &
Happy New Year! 2005 will be the beginning!".
Los mensajes en los que se env?an Atak.H, Atak.I y Atak.J incluyen un archivo
adjunto en formato .zip que, a su vez, contiene un fichero que puede tener por
nombre bat, com, pif o scr. Si el usuario lo ejecuta, los gusanos generan copias
de s? mismos en el directorio de sistema de Windows con el nombre dec25.exe. Al
mismo tiempo, se env?an -utilizando su propio motor SMTP-, a todas las
direcciones que encuentran en ficheros con determinadas extensiones que est?n
almacenados en el ordenador.
Las tres citadas variantes de Atak son muy similares, y s?lo se diferencian en
aspectos como el tama?o del fichero adjunto que tienen los mensajes de correo
infectados. Por otra parte, debido a un fallo de programaci?n, Atak.J es
incapaz de enviarse.
El quinto gusano al que nos referimos hoy es Janx.A, que se propaga a trav?s de
Internet aprovech?ndose para ello de la vulnerabilidad LSASS. En concreto, se
difunde de manera autom?tica en los equipos que tengan instalado Windows
XP/2000, y no hayan sido convenientemente actualizados. En los restantes
sistemas operativos de Windows tambi?n funciona, si el archivo que lo contiene
es ejecutado.
Janx.A se conecta a un servidor de IRC, y espera ?rdenes de control que llevar
a cabo en el ordenador al que ha afectado. Adem?s, instala un servidor FTP en
el puerto 5533.
El troyano que analizamos en el presente informe es HideProc.B, que no se
propaga autom?ticamente por sus propios medios, ya que para conseguirlo precisa
la intervenci?n de un atacante. HideProc.B consiste en una DLL (Librer?a de
Enlace Din?mico), que es utilizada por otro ejemplar de malware para ocultar la
ejecuci?n de hasta dos procesos distintos.
