Los tres gusanos informáticos protagonistas de la semana

25/06/2005 - W32.Codbot.AL es un gusano que ha registrado un importante número de detecciones desde su descubrimiento, situándose entre los cinco más activos durante la semana, según la herramienta de análisis online, Panda ActiveScan. Este malware utiliza para propagarse las conocidas vulnerabilidades de los procesos LSASS y RPC-DCOM, además de varias vulnerabilidades en SQL Server. Para instalarse en el equipo, se inscribe como un proceso del sistema, que se ejecuta a cada inicio del sistema, y que una vez en funcionamiento, se conecta a diversos servidores de IRC, a la espera de recibir órdenes. Estas órdenes pueden ser, desde obtención de información del equipo, activación de servicios de captura de pulsaciones de teclado (keylogger) o FTP, e incluso la descarga y ejecución de otro tipo de malware. Este gusano ha sido bloqueado sin conocerlo previamente por las Tecnologías TruPreventTM.

Por su parte, W32.Semapi.A es un gusano que se propaga por medio de correo electrónico, utilizando un mensaje de características variables, escrito en inglés, con asuntos y remitentes también variables, y que lleva adjunta una copia del gusano, utilizando diversas extensiones y nombres. Una vez instalado en el ordenador, copia varios archivos al disco duro y crea una serie de entradas en el registro para asegurarse su ejecución en cada inicio del sistema. Posteriormente, busca en el ordenador direcciones procedentes de archivos con extensiones que tiene predefinidas, y se reenvía a todas ellas. Es fácilmente reconocible, ya que al ejecutarse muestra un cuadro de diálogo que indica que no se encuentra el fichero 'semapi.dll'.

El tercer gusano es un componente de la familia Mytob, concretamente la variante GV, con características backdoor y que se propaga, tanto por correo (a direcciones que consigue del ordenador afectado, falseando el remitente), como por medio de recursos compartidos protegidos por medio de contraseñas débiles. Además, finaliza diversos procesos, relacionados en gran medida con aplicaciones antivirus, y bloquea el acceso a sitios web de compañías de seguridad informática, por lo que deja el ordenador expuesto a infecciones de otro tipo de malware.