17/12/2005 - Bagle.FU es un gusano que termina varios procesos y elimina ciertas entradas del Registro de Windows, relacionadas con otros gusanos. Además, se encarga de enviar -dentro de un archivo con extensión ZIP y a una serie de direcciones de correo electrónico- una copia del troyano Mitglieder.GK.
Por su parte, Mitglieder.GK se ocupa de consultar una serie de páginas web para descargar de ellas un fichero que puede ser de cualquier tipo, incluyendo otros ejemplares de malware.
Los cuatro problemas de seguridad de Internet Explorer a los que nos referimos hoy afectan a las versiones 5.01, 5.5 y 6 del navegador de Microsoft cuando se encuentran instaladas en equipos con Windows 2003/XP/2000/Me/98. Están calificados como "críticos", ya que pueden llegar a permitir la ejecución remota de código en los sistemas vulnerables. Por su parte, el quinto problema de seguridad al que aludimos ha sido calificado como "Importante", reside en el núcleo de Windows 2000 y podría permitir a un atacante controlar completamente al sistema afectado.
Microsoft ha publicado dos boletines de seguridad, en los que anuncia la disponibilidad de actualizaciones que resuelven las citadas vulnerabilidades en Internet Explorer (MS05-054) y en Windows 2000 (MS05-055), y cuya instalación se recomienda a los usuarios de los equipos afectados.
La siguiente amenaza que analizamos es el troyano WmaDownloader.B, que llega al ordenador en archivos multimedia protegidos por licencia, que pueden ser descargados desde páginas web o a través de programas de intercambio de archivos punto a punto (P2P).
WmaDownloader.B aprovecha Windows Media Digital Rights Management (DRM), tecnología que exige un número de licencia válido cuando se intenta reproducir un archivo Windows Media protegido. Si un usuario ejecuta el archivo multimedia -que contiene al citado troyano-, aparecerá una ventana que pide al usuario que adquiera una licencia, que puede utilizar gratuitamente si instala IST Toolbar, programa que puede ser empleado como puerta de entrada para otras amenazas.
Si el usuario acepta instalar IST Toolbar, WmaDownloader.B realizará las siguientes acciones en el equipo al que afecta:
- Muestra un aviso de seguridad, que informa de que un control ActiveX está a punto de instalarse en el ordenador. Si el usuario acepta que se lleve a cabo dicha acción, aparecerá una ventana con un mensaje de agradecimiento.
- Se conecta a una URL (del dominio drm.ysbweb.com), y si el ordenador utiliza la versión 9 ó superior de Windows Media Player descarga e instala IST Toolbar.
El tercer troyano que mencionamos es Banbra.BOK, para cuya propagación se utilizan mensajes que se envían por Messenger e invitan a ver una foto en una determinada página web. Sin embargo, si se visita la página lo que realmente ocurrirá es que el troyano se descargará en el equipo. Además, Banbra.BOK puede ser descargado de otros sitios web.
En el equipo al que afecta, Banbra.BOK se queda residente y abre el puerto 1036, quedando a la espera de que el usuario acceda a varias páginas -correspondientes a bancos-, para robar las contraseñas que después envía a determinadas direcciones de correo.
Bancos.LU, por su parte, es un troyano que guarda -en los ficheros temporales- información del equipo al que afecta como, por ejemplo, los nombres de usuario y las contraseñas empleadas en las cuentas de correo, libretas de direcciones y datos bancarios. Para obtener los últimos datos mencionados, Bancos.LU monitoriza la navegación del usuario y, si éste se conecta a determinados bancos, le redirecciona hacia otro servidor en el que hay copias falsas de las páginas web de entidades bancarias que solicitan información relativa a cuentas y a contraseñas. Los datos que introduzca el usuario -y que correspondan a determinadas cadenas de texto-, son registrados por este troyano, que los hace llegar a su creador.
Terminamos el presente informe con Elite, aplicación que permite -en el equipo en el que se instala- registrar la información (pulsaciones, imágenes creadas, programas utilizados, etc.) de las acciones que han realizado en él las distintas personas que lo han utilizado.
Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software.
Esta semana fueron protagonistas un gusano, el Bagle.FU, cinco vulnerabilidades, cuatro de Internet Explorer y una de Windows 2000, de cuatro troyanos, Mitglieder.GK, WmaDownloader.B, Banbra.BOK y Bancos.LU, y de una aplicación, Elite. 
