- DoomHunter.A se introduce en los equipos por los puertos que Mydoom.A y Mydoom.B dejan abiertos y, si detecta la presencia de dichos gusanos, de Blaster o de Doomjuice, los elimina. Además, intenta abrir el puerto TCP 3127 y, si lo consigue, permanece a la escucha hasta que un ordenador -que haya sido afectado por Mydoom.A o Mydoom.B- trata de acceder a través del mismo. Cuando esto sucede, DoomHunter.A envía una copia de sí mismo a la dirección IP del equipo que ha detectado, se ejecuta y procede a tratar de desinfectarlo de los dos gusanos mencionados anteriormente.
- Mitglieder.A accede -a través de la puerta trasera creada por las variantes A y B de Mydoom- a los sistemas, en los que se copia con el nombre "system.exe". Además, Mitglieder.A detiene los procesos en memoria de diversos programas, y asegura su presencia en el equipo al que afecta generando una entrada en el registro de Windows.
- Deadhat.A y Deadhat.B se propagan a través del programa de intercambio de ficheros punto a punto (P2P) SoulSeek y de Internet. Provocan problemas de arranque, ya que borran ficheros que son fundamentales para el correcto funcionamiento del ordenador, y finalizan procesos relacionados con algunos programas antivirus y firewalls. Igualmente, terminan los procesos correspondientes a Mydoom.A y Mydoom.B.
Tanto Deadhat.A como Deadhat.B abren el puerto TCP 2766 y se conectan a un servidor IRC, permaneciendo a la espera de recibir órdenes de control que llevar a cabo en el PC afectado. Asimismo, permiten descargar ficheros en el ordenador por medio de una conexión remota. Por contra, ambos gusanos se diferencian en aspectos como su tamaño, y el fichero que generan en el equipo al que afectan.
- Nachi.B sólo afecta a ordenadores con sistemas operativos Windows XP/2000/NT y, para difundirse al mayor número de ordenadores posible, aprovecha las vulnerabilidades conocidas como Desbordamiento de buffer en interfaz RPC, WebDAV y Desbordamiento de buffer en servicio Workstation. En concreto, se propaga atacando ordenadores -en los que intenta aprovechar los problemas de seguridad anteriormente mencionados- para descargar en el PC una copia de sí mismo. Cuando la fecha del sistema es 1 de junio de 2004 o posterior, este gusano se borra a sí mismo.
Nachi.B es capaz de desinstalar a Mydoom.A y a Mydoom.B, finalizando sus procesos y borrando sus ficheros asociados.
- Doomjuice.A y Doomjuice.B se propagan a través de Internet, utilizando para ello los puertos que Mydoom.A y Mydoom.B dejan abiertos en los equipos a los que afectan. A su vez, ambos códigos maliciosos lanzan ataques de Denegación de Servicio Distribuida (DDoS) contra el sitio www.microsoft.com.
La variante B de Doomjuice se diferencia de la A en aspectos como el tamaño del código del gusano, y la forma en la que ha sido empaquetada. Tampoco introduce en el equipo ningún fichero con el código fuente de Mydoom.A, tal y como hace Doomjuice.A.
- Yenik.A se difunde a través del correo electrónico -en un mensaje de características variables y escrito en inglés-, y de los programas de intercambio de ficheros punto a punto (P2P). Cuando se manda por e-mail lo hace automáticamente, a todos los contactos de la Libreta de direcciones de Windows, utilizando su propio motor SMTP.
- Dumaru.AA se propaga por correo electrónico en un mensaje escrito en inglés, que incluye un fichero que está comprimido y cuyo nombre es: DOCUMENT.ZIP. Si se ejecuta el fichero descomprimido, el ordenador quedará afectado por Dumaru.AA.
El troyano al que nos referimos hoy es StartPage.AV, que cambia la página de "Inicio" de Internet Explorer y las opciones de búsqueda que, por defecto, éste tiene establecidas. Cuando es ejecutado, se coloca residente en memoria y abre una ventana en el citado navegador, en la que informa de supuestos peligros para la seguridad del ordenador e invita a descargar una utilidad. Después, StartPage.AV se conecta a un sitio web y recibe una lista de enlaces, que añade a la carpeta "Favoritos".
Demo-GFI.A, por su parte, es una herramienta de hacking que crea un fichero de texto que registra, entre otros, los siguientes datos del ordenador al que afecta: directorios y archivos de la unidad C:; nombre del dominio, impresoras de red disponibles, etc. Tras ser ejecutado, Demo-GFI.A abre el programa Notepad y muestra el contenido del archivo registrado.
Terminamos el presente informe con BuddyLinks, programa de tipo adware que llega al ordenador cuando el usuario visita la página w ww.wgutv.com o download.buddylinks.net, y acepta instalar un control ActiveX. Una vez en el equipo, manda -a todos los contactos del programa AOL Instant Messenger- un enlace a las páginas mencionadas anteriormente, y muestra un juego en el que aparecen Saddam Hussein y Osama Bin Laden.
|
