La acción de nuevos virus que aprovechan agujeros de seguridad en software de Microsoft provocó un incremento del 30% en la cantidad de computadoras infectadas en agosto pasado respecto a julio, de acuerdo a datos de la empresa de seguridad informática Trend Argentina.
Los cinco primeros virus en el ranking reportado por la firma son el PE_PARITE.A, con un alza del 530% respecto a agosto del año pasado; el WORM_WOOTBOT.DV: 71945, un virus nuevo; el Worm_Nyxem.E (suba del 3%), Troj_Generic (40%), Html_netsky.P (una baja del 1%).
Mientras en julio hubo un total de 330.495 máquinas infectadas por los 10 principales virus, en agosto la cifra subió a 428.601.
Algunos de los virus aumentaron desmesuradamente como el PE_PARITE.A que pasó a liderar la tabla de los virus más detectados con más del 500% de deteccion con respecto al año pasado.
Según Trend Argentina, esta suba "se puede deber a que mucha gente todavía no tiene los parches de Microsoft que tapa la vulnerabilidad utilizada por el PARITE".
Modos de acción
El PE_PARITE.A: Infecta archivos .EXE y .SCR en sistemas infectados y recursos compartidos con acceso de lectura y escritura. Hace uso de puertos aleatorios para acceder a los recursos compartidos. Cuando se esta por ejecutar, lanza un archivo .TMP detectado por Trend Micro como PE_PARITE.A-O. También puede llegar como un archive de mail (EML) que contiene el malware ejecutable. En esta forma el archivo infector se ejecuta cuando el mail malicioso se abre. Una vez abierto, busca archivos HTL o HTML en el sistema con el nombre "README". Una vez encontrado, tira una copia del .EML en la carpeta donde encontró el archivo HTML. El archivo HTML infectado es detectado por Trend Micro como JS_NIMDA.A.
WORM_WOOTBOT.DV: Este gusano busca en el sistema infectado listas de nosmbres de usuarios y contraseñas. Entonces después busca las carpetas compartidas de IPC$ donde tira una copia de si mismo usando la información recopilada. Escanea la red para encontrar sistemas vulnerables y notifica al Bot con el sistema de IP remotas. Usando una subred clase B y la direccion IP de su objetivo, genera una direccion IP aleatoria y prueba cada direccion para la vulnerabilidad de LSASS de Windows. Este gusano roba las llaves del CD de ciertos juegos, y el identificador del producto del Windows. Tambien intenta robar los Id de cuentas de Yahoo!, y AOL. Tiene capacidad de actuar como Backdoor y ejecutar comandos.
Worm_Nyxem.E: Este es el virus que salio en los medios como "Kamasutra" tambien denominado Worm_Grew.A. Este gusano se propaga adjuntando copias de si mismo a emails que manda a direcciones de la libreta de direcciones, usando su propio motor de SMTP (Simple Mail Transfer Protocol). A traves del propio motor se le facilita mandar los mail sin usar otra aplicacion de mail como el Outlook Ademas, este gusano se propaga a traves de carpetas compartidas. Busca en la red por carpetas compartidas como ADMIN$ y C$, donde deja una copia de si mismo con el nombre de WINZIP_TMP.EXE. El gusano borra entradas de registro, asi como tambien archivos asociados a programas,la mayoria estan asociados a seguridad y antivirus. Esas rutinas causan que dichos programas funcionen mal, haciendo los sistemas mas vulnerables a futuros ataques. Para terminar, es capaz de desactivar el mouse y el teclado de los sistemas afectados.