Netsky.C se propaga a través del correo electrónico -en un mensaje de características variables y escrito en inglés-, y de los programas de intercambio de ficheros punto a punto (P2P). Este código malicioso borra las entradas pertenecientes a varios gusanos, entre los que se encuentran Mydoom.A y Mimail.T. Adicionalmente, cuando la fecha del sistema es 26 de febrero de 2004, Netsky.C emite -entre las 6:00 y las 8:59 de la mañana-, un sonido compuesto de varios tonos aleatorios.
Bizex.A, por su parte, se difunde mediante el programa de mensajería instantánea ICQ. Además, para descargar y ejecutar una copia de sí mismo en el ordenador al que afecta, se aprovecha de dos vulnerabilidades recientemente detectadas en Internet Explorer.
Bizex.A intenta robar información que el usuario introduce en sitios web relacionados con determinadas entidades financieras, así como la transmitida a través de HTTPS (HTTP over Secure Socket Layer) relativa a los dominios login.yahoo.com y .passport. Los datos que obtiene los envía a un servidor FTP.
El tercer gusano del presente informe es Nachi.D, que afecta a ordenadores cuyo sistema operativo sea Windows 2003, XP, 2000 ó NT. Con el objetivo de propagarse al mayor número de equipos posible aprovecha tres vulnerabilidades -conocidas como Desbordamiento de buffer en interfaz RPC, WebDAV y Desbordamiento de buffer en servicio Workstation- para descargar una copia de sí mismo. Esta acción provoca un aumento del tráfico de red por los puertos TCP 80, 135 y 445.
Nachi.D es capaz de desinstalar las variantes A y B de Mydoom y de Doomjuice, finalizando sus procesos y borrando sus ficheros asociados. Asimismo, cuando la fecha del sistema es 1 de junio de 2004 o posterior, Nachi.D se borra a sí mismo.
Por último, nos referimos a la variante F de Mydoom, que se propaga por correo electrónico en un mensaje de características variables y escrito en inglés. Se trata de un gusano destructivo, ya que borra todos los ficheros que tengan alguna de las siguientes extensiones: AVI, BMP, DOC, JPG, MDB, SAV y XLS.
Mydoom.F instala una librería de enlace dinámico (DLL) que contiene un backdoor y permite finalizar procesos correspondientes a programas antivirus, lo que deja al PC al que afecta vulnerable al ataque de otro malware. Además, cuando la fecha del sistema se encuentra entre el 17 y el 22 de cualquier mes y año, este gusano realiza ataques de Denegación de Servicio Distribuida (DDoS) contra las páginas w w w.microsoft.com y w w w.riaa.com. Dos de cada tres veces, el ataque se realiza contra el sitio de Microsoft.
Un hecho que delata la presencia Mydoom.F en un ordenador es la aparición, en siete de cada diez ocasiones, de un mensaje de error.
|
