- Informe Semanal Sobre Virus -

Cuatro códigos dañinos.

por Panda Software (http://www.pandasoftware.es)

Madrid, 11 de mayo, 2003 - En el informe de esta semana destacamos cuatro códigos maliciosos: los gusanos Sory (W32/Sory), Kickin (W32/Kickin) y Winur (W32/P2P.Winur.C), y el troyano AOL.Aim (Trj/PSW.AOL.Aim).

Sory es un gusano que recopila información confidencial del ordenador afectado y la envía a una dirección de Internet. Entre los datos que recoge se encuentran la versión del sistema operativo, el número, tipo y velocidad de la CPU, la cantidad de memoria RAM o la dirección de e-mail de la víctima. Además de ello, captura las pulsaciones del teclado que realiza el usuario del ordenador afectado, guardándolas en un fichero que también envía. De esta manera, el receptor de ese mensaje puede acceder a informaciones confidenciales del usuario del ordenador, como por ejemplo las contraseñas de acceso a ciertos servicios.

Para propagarse realiza copias de sí mismo en ordenadores que se encuentren conectados en red, si bien el sistema operativo debe estar instalado en lengua inglesa o turca.

Winur está diseñado para propagarse con rapidez a través de programas de intercambio de ficheros P2P (punto a punto), como pueden ser WinMX, KaZaa o Edonkey. Una vez que infecta un equipo, lleva a cabo un ataque de tipo DoS (denegación de servicio) contra una página web, al tiempo que borra algunos programas antivirus.

Además de ello, copia una gran cantidad de ficheros personales del ordenador afectado en los directorios compartidos que utilizan los programas P2P. De este modo, dichos archivos quedarán al alcance del creador del virus o de cualquier usuario de las mencionadas aplicaciones.

El gusano Kickin se envía por correo electrónico mediante su propio motor SMTP (Simple Mail Transfer Protocol), aunque también puede propagarse enviándose por IRC y mediante aplicaciones P2P. Infecta las plataformas Win9x, NT, 2000 y XP y busca en memoria una serie concreta de procesos (relacionados con software antivirus y de seguridad) cerrándolos si los encuentra activos.

Kickin se propaga por correo electrónico haciendo uso de las "técnicas de ingeniería social" o reclamos para tratar de engañar al usuario y conseguir que ejecute el archivo, como por ejemplo el SARS (Severe Acute Respiratory Syndrome), parches, cartas de amor, juegos, fotos de artistas famosas, etc.

Además, crea un fichero script.ini con código para propagarse a través de mIRC y se copia en los directorios de ficheros compartidos de varias aplicaciones P2P (KaZaa, Bearhsare, Edonkey2000 y Morpheus).

Por último, AOL.Aim es un troyano que recopila los datos de acceso del equipo afectado al servicio de mensajería instantánea de la compañía America On Line (AOL). Concretamente, capta el nombre de usuario y la contraseña para enviarlos al creador del virus.

AOL.Aim no utiliza ningún medio específico de propagación, pudiendo llegar a los ordenadores por cualquiera de las vías habitualmente utilizados por los virus: disquetes, CD-ROMs, descargas desde Internet, FTP, etc.