Nueva variante del troyano IRCBot aprovecha vulnerabilidad reciente de Microsoft

Agosto 14, 06 by admin

Este troyano fue detectado automáticamente a través del motor heurístico ThreatSense, de Eset NOD32, como una variante de Win32/IRCBot.OO, lo cual protegió proactivamente a los usuarios del producto en todo momento contra este código malicioso, al no precisar de una actualización para reconocer el nuevo malware.

Esta variante en particular intenta aprovecharse de una vulnerabilidad en el servicio Servidor de los sistemas operativos Windows 2000, XP y 2003, que fue reportada el 8 de Agosto por Microsoft. Ese mismo día el parche para corregir el agujero de seguridad fue publicado, pero de acuerdo a como se ha estado detectando este troyano, se nota una gran cantidad de usuarios que aún no ha instalado la actualización de seguridad disponible en el boletín MS06-040.

Al igual que la mayoría de las variantes de la familia IRCBot, el objetivo de este nuevo ejemplar es la construcción de botnets, también conocidas como redes de equipos zombis. Una botnet es una red de ordenadores infectados por un malware y que puede ser administrada remotamente por el creador del código malicioso para realizar acciones colectivas como envío de correo no solicitado y/o ataques de denegación de servicio (DoS).

El nuevo código malicioso es muy similar al reportado en la primer semana de Julio, propagándose a través del AOL Instant Messenger, con la particularidad de que además explota la vulnerabilidad antes mencionada.

Esta variante de IRCBot.OO se ubica actualmente en la posición número 33 de los códigos maliciosos más de detectados en las últimas 24 horas, de acuerdo al  sistema de alerta temprana ThreatSense, que ha contabilizado detecciones de más de 6000 malware distintos en ese lapso de tiempo.

Al instalarse en un equipo infectado, el troyano se almacena en un archivo de nombre wgareg.exe, el cual se inicia como un servicio del sistema llamado “Windows Genuine Advantage Registration Service”, que busca hacer creer al usuario que se trata de la herramienta anti-piratería real de Microsoft.

Tras esto, el troyano puede ser utilizado para obtener información del equipo infectado, además de lanzar ataques distribuidos de denegación de servicios, entre otras cosas.

Add your comment

No responses for this post

  1. osvaldoperez1980 Says:

    ¿Es lo mismo que decían acá?

    <a href=”http://sociedadenred.com.ar/?p=11″>http://sociedadenred.com.ar/?p=11</a>

  2. osvaldoperez1980 Says:

    No, mirá bien:

    http://sociedadenred.com.ar/?p=11

  3. inseguro Says:

    Seguridad: 3 troyanos y 1 virus gusano fueron los personajes principales de la semana
    Publicado por Pedro La Nata dentro de Informática , Seguridad (editar esto)
    No hay comentarios 

    El presente informe semanal de PandaSoftware se ocupa de los troyanos Goldun.KR, Downloader.KCC y Downloader.KBR, y del gusano Eliles.A.

    Goldun.KR
    es un virus de tipo troyano que maneja el tráfico de Internet producido
    cuando el usuario accede a webs relacionadas con diversas entidades bancarias en-línea. De esta forma, logra usurpar nombres de usuario y claves de ingreso a dichas entidades bancarias para mandarlas a su autor.

    Este
    troyano llega al ordenador dentro de un documento con dos extensiones
    llamado ASSET.TXT.EXE. De esta manera, quiere burlar al usuario y
    hacerle imaginar que consiste en un documento de texto, porque si
    tiene activada la alternativa “Ocultar las extensiones de archivos para
    formas de archivos conocidos”, el usuario solamente vería ASSET.TXT.

    En caso de que este documento sea ejecutado, se abre el bloc de notas de MS Windows.

    Del otro lado, los troyanos Downloader,KBR y Downloader.KCC se enviaron en documentos adjuntos
    a mensajes publicidad basura que simulan ser confirmaciones de
    adquisiciones efectuadas por el usuario o devoluciones de cargos en
    tarjetas de crédito, respectivamente.

    En caso de que la persona
    accione el documento adjuntado a cualquiera de los dos mensajes
    mencionados, el pertinente troyano se instalará en la PC.

    Downloader.KCC
    y Downloader.KBR tienen acciones similares, y consisten en bajar en el
    sistema al también troyano Spyforms.A. Este ultimo se encuentra
    diseñado para usurpar información de los equipos afectados, como la dirección IP o la contraseña de ingreso a Internet.

    Por último, el gusano Eliles.A trata de mandar mensajes a celulares de las instituciones Movistar y Vodafone. Dichos mensajes traen consigo un link para la descarga de un documento dañino en el teléfono.

    Eliles.A se encuentra programado en lenguaje Visual Basic Script y llega al ordenador en mensajes de mail que llevan por asunto Curriculum Vitae para probable vacante, en tanto que en el cuerpo de texto aparece: Adjunto
    Currilum Vitae, por estar interesado en un puesto vacante en su
    empresa,me encantaria que lo tuviera en cuenta, porque estoy buscando
    trabajo por esa zona. Sin más, reciba un cordial Saludo.

    En
    caso de que la persona accione el documento adjuntado, el gusano se
    copia en la PC con la denominación C.Vitae.zip, y se manda a las
    direcciones de mail que halla en la PC. Igualmente, desactiva programas
    anti-virus que sean capaces de hallarse instalados en el equipo e
    introduce entradas en el registro de MS Windows con el propósito de ejecutarse cada vez que se reinicie el sistema.

    Al
    fin, trata de mandar mensajes a móviles de las instituciones Vodafone y
    Movistar que traen consigo un link que descarga en el móvil un
    documento dañino llamado Antivirus.sis, y que tiene la posibilidad de perjudicar a los celulares que trabajen con el S.O. Symbian

  4. Kernelnet Informatica Says:

    En este tipo de virus lo mejor es mirar los procesos.

    Aqui hay una lista:

    Pocesos de windows

  5. inseguro Says:

    Existe una alternativa que deja este problema de lado de una vez por todas. Esta alternativa es cambiarte a linux. Es menos susceptible a los virus y no necesitas pagar antivirus antispywares y otras cosas. Se puede obtener gratis de internet.

Leave a Reply