Aunque podría ser más peligroso al ejecutar diversos procesos sin que el usuario se percate, el gusano WORM_MASLAN.A contiene errores en su programación que inhabilitan una parte de su funcionamiento, destaca Trend Micro.
Este código malicioso emprende un ataque de negación del servicio contra dos sitios informativos sobre el conflicto en Chechenia, por lo que la política se mantiene como uno de los móviles comunes para la producción de virus tecnológicos.
Este gusano, descubierto en Internet el pasado 6 de diciembre, inicia una rutina de envío masivo de correo electrónico infectado sin que el usuario lo advierta, para lo cual busca direcciones electrónicas en archivos del sistema en el que se ha instalado.
De acuerdo con la firma antivirus, este gusano multitarea de bajo riesgo ejecuta un componente de puerta trasera (backdoor) que permite a un usuario malicioso tomar control del sistema y usarla para propósitos ilegales.
Trend Micro indica que MASLAN.A aprovecha una vulnerabilidad de Windows conocida como RPC-DCOM (Remote Procedure Call-Distributed Component Object Model), al parecer para ayudarle en sus rutinas de propagación.
Asimismo, desactiva una serie de aplicaciones de seguridad informática que incluyen programas antivirus, actualizaciones de software y funciones de monitoreo del sistema de Windows 95, 98, ME, NT, 2000 y XP.
Al obtiener las direcciones electrónicas de sus víctimas de ciertos tipos de archivos que está en la computadora infectada, este gusano residente en memoria llega típicamente como un archivo adjunto denominado PlayGirls2.exe.
Luego de ejecutarse, deposita los componentes como ___r.exe, ___n.exe y ___synmgr.exe en el directorio del sistema de Windows, y al infectar una máquina crea dos entradas en el registro a fin de asegurar su autoejecución en cada inicio del sistema.
Sin embargo, advierte la firma antivirus, por un error en su código, el programa envía el siguiente mensaje de error del sistema operativo, y al hacer clic en el botón "OK", se da por terminada la ejecución del gusano.
El código del gusano lleva la programación para iniciar una rutina de propagación masiva por correo electrónico, mediante el cual envía copias de sí mismo.
Detalla que las direcciones de sus víctimas son obtenidas de los archivos que encuentra en el sistema con las extensiones adb, asp, cfg, cgi, dbx, dhtm, eml, htm, jsp, mbx, mdx, mhtm, mmf, shtm, txt, xls y xml.
En el Nombre pueden aparecer Alan, Anna, Carter, Conor, Christian, Kramer, Liza, Lopez, Jackson, Nelson, Peter, Robert, Sarah, Steven, entre otros que el gusano tiene programados para colocar en ese espacio.
De igual forma, finaliza una variedad de procesos asociados con aplicaciones antivirus y de seguridad del sistema, y ejecuta ataques de negación de servicio contra los sitios Web chechenpress.com, chechenpress.info, kavkaz.org.uk, kavkaz.tv, kavkaz.uk.com, kavkazcenter.com, kavkazcenter.info y kavkazcenter.net.
Luego, el gusano busca en la carpeta archivos de programas y sus subdirectorios por archivos ejecutables con una ruta que contenga las líneas de texto distr, download, setup y share.
La firma antivirus menciona que cuando MASLAN.A encuentra un archivo .EXE con estas características, recupera la ruta para ese archivo y la copia en el directorio ___b:, donde copia el archivo de cada programa reemplazando el contenido por ceros.
Subraya que cuando el usuario abre el archivo que viaja con el correo electrónico infectado por MASLAN.A, debería contagiar la computadora y desencadenar los efectos arriba descritos, sin embargo -apunta- un error de programación impide que eso pase.
Ante ello, Trend Micro prevé que nuevas versiones de la familia MASLAN podrían ser liberadas próximamente con las adecuaciones que requiere para hacerlo funcional y lograr sus objetivos.
WORM_MASLAN.A, precisa, es detectado y eliminado por el patrón de virus de Trend Micro número 2.286.10 o superiores.
Por otra parte, la empresa antivirus informa que los 10 códigos maliciosos con mayor propagación en el mundo, en la semana del 3 al 9 de diciembre, fueron PE_BUGBEAR.DAM, WORM_NETSKY.P, HTML_NETSKY.P, WORM_NETSKY.D, WORM_SOBER.I, WORM_MYDOOM.A, JAVA_BYTEVER.A, WORM_NETSKY.C, WORM_NETSKY.DAM y WORM_NETSKY.B.
Fuente LaCronica.com.mx
