Kedebe.A es un gusano de correo electrónico cuya mayor peligrosidad radica en que puede dejar al sistema indefenso frente a los ataques de otros malware. Este código malicioso se propaga en forma de archivos adjuntos a mensajes de correo de características muy variables, ya que tanto el asunto como el cuerpo de texto del mismo, son escogidos a partir de una lista de opciones predeterminada.
En caso de que el usuario ejecute el fichero que contiene a Kedebe.A, éste genera dos archivos en el sistema. Uno de ellos contiene una copia de sí mismo, mientras que el otro es un fichero de texto en el que puede leerse: “Properly infected. Kill those fools, Mydoom-er and Bagle-r!! They're DEAD!! EthioLove.X!!”.
Kedebe.A finaliza procesos en memoria correspondientes a aplicaciones antivirus y de seguridad. Asimismo, modifica el archivo HOSTS, de forma que impide el acceso a varias páginas web relacionadas con seguridad informática. También introduce una entrada en el registro de Windows de forma que asegura su ejecución en cada reinicio del sistema.
Nopir.A está diseñado para propagarse a través de redes P2P, borrando los archivos con extensiones COM y MP3 que encuentra en los ordenadores en los que se instala. Esto ha motivado que algunos medios de comunicación lo califiquen como un gusano “anti-piratas”, pero lo cierto es que se trata de un peligroso ejemplar de malware que puede causar importantes daños en los sistemas. Así, impide que los equipos que funcionen bajo Windows 2003/XP/2000/NT puedan arrancar, ya que borra el fichero NTDETECT.COM.
En caso de que el usuario ejecute un archivo conteniendo a Nopir.A, se mostrará en pantalla una imagen conteniendo un texto en contra de la piratería informática. Al mismo tiempo, desactiva el editor del registro de Windows, el administrador de tareas y el panel de control de dicho sistema operativo. Para propagarse, Nopir.A emplea el programa de intercambio de archivos punto a punto (P2P) eMule. A este fin genera, en el directorio de dicha aplicación, el fichero denominado ANYDVD 5.1.0.1 CRACK+KEYGEN BY RAZOR.EXE, que otros usuarios pueden descargar en sus equipos sin saber que, en realidad, contiene una copia de Nopir.A.
Finalmente, el troyano Bancos.NL está diseñado para interceptar datos confidenciales de clientes de más de 2.500 portales de entidades bancarias. Este troyano no puede propagarse por sus propios medios, por lo que requiere ser distribuido manualmente por terceros. De este modo, Bancos.NL puede propagarse por medio de soportes físicos tradicionales (disquete, cd-rom), o mensajes de correo electrónico, descargas de Internet, transferencias por FTP, redes P2P, etc.
Una vez que el usuario ejecuta el archivo que contiene el troyano, éste se instala en el sistema como MSCVC.EXE, y comienza a controlar la actividad en Internet del usuario, esperando a que éste se conecte a alguna de las 2.500 direcciones de Internet que tiene registradas en su código. En el momento en que esto ocurre, registra toda la información introducida por el usuario relativa a números de cuenta, de tarjetas de crédito, contraseñas, o cualquier otro dato que el usuario utiliza para operar en su banco. Dicha información es enviada a un servidor, donde puede ser recogida por delincuentes cibernéticos.
|
El informe sobre virus e intrusos de la presente semana se ocupará de los gusanos Kedebe.B y Nopir.A, así como del troyano Bancos.NL. 
