Informe de virus semanal - Seguridad en Internet - Informe de virus semanal - Seguridad en Internet -
    Bagle.AM apareció a principios de esta semana y, en un breve espacio de tiempo, afectó a numerosos equipos. Se propaga a través del correo electrónico en un mensaje escrito en inglés que carece de asunto, e incluye un archivo cuyo nombre es variable y tiene extensión ZIP. El fichero integra dos elementos:

    - Illwill.A, archivo HTML que contiene un exploit que Bagle.AM utiliza para afectar al ordenador sin que el usuario se dé cuenta.

    - Un archivo EXE, que es ejecutado cuando el usuario abre el archivo Illwill.A.

    Una vez que ha afectado un ordenador, Bagle.AM intenta descargar un falso archivo JPG desde diversos sitios web y, si lo consigue, empieza a difundirse. Adicionalmente, Bagle.AM se propaga a través de programas de intercambio de archivos punto a punto (P2P).

    En el equipo al que afecta, Bagle.AM abre un puerto TCP y permanece a la escucha, permitiendo a un hacker acceder al ordenador. Asimismo, este gusano finaliza procesos pertenecientes a diversas aplicaciones entre las que se encuentran programas de actualización de antivirus, lo que impide que puedan ofrecer protección contra virus de nueva aparición. Asimismo, si el equipo está afectado por alguna variante del gusano Netsky, Bagle.AM evita que se ejecute cuando se inicia Windows.

    Leritand.A, Leritand.B y Leritand.C son troyanos que cambian el prefijo de las direcciones web que comienzan por www, redireccionándolas a un sitio web que se encarga de abrir la página web originalmente solicitada por el usuario. Además, este código malicioso desactiva los manipuladores URL de los protocolos its, ms-its y mhtml, lo que puede provocar que algunos sistemas de ayuda no funcionen. Adicionalmente, estos troyanos cambian la página de inicio y de búsqueda por defecto del navegador Internet Explorer, y añaden enlaces a la carpeta Favoritos.

    Finalizamos el informe de hoy con Toquimos.A, troyano que únicamente afecta a teléfonos móviles Nokia serie 60. No se propaga por sí mismo, ya que debe ser instalado y ejecutado por el usuario. Su medio de distribución más frecuente son las redes de intercambio de archivos punto a punto (P2P).

    Tras ser ejecutado, Toquimos.A comprueba si el teléfono tiene instalada la versión pirata de un juego. Si es así manda, sin consentimiento del usuario, un mensaje SMS a un número de teléfono de tarifa especial. El citado mensaje SMS es enviado cada vez que se ejecuta el juego.