16 de mayo de 2008 - El informe semanal de PandaLabs destaca a los gusanos Perwall.A y Radulambu.C, así como a los troyanos Ceckno.J, y HostChange.B.

Perwall.A es un gusano que tiene objetivo propagarse a todas las unidades removibles y mapeadas que encuentre en cada máquina en que se instala. Cuando es ejecutado, Perwall.A crea copias de sí mismo en numerosas ubicaciones del ordenador. Además, genera los ficheros autorun.inf y Boom.vbs. Por otra parte, crea diversas entradas en el registro de Windows con el objetivo de ejecutarse cada vez que reinicia el sistema.

Un síntoma visible de la presencia de Perwall.A en el ordenador es que, cuando se ejecuta, abre la carpeta c:\windows\web\wallpaper, en la que se encuentran las diferentes imágenes disponibles para poner de fondo de escritorio.

Por su parte, Radulambu.C es un gusano que llega al ordenador utilizando un icono típico de archivos de imágenes con el nombre Palma.exe. En caso de que el usuario lo ejecute, el gusano se copia en diferentes localizaciones del equipo, así como en las unidades mapeadas que encuentre. Incluso crea una carpeta en C: llamada Images, en la que realiza copias de si mismo en archivos con nombres diversos.

Asimismo, crea un archivo autorun.inf tanto en el disco duro como en las unidades mapeadas.

Radulambu.C también genera diversas entradas en el registro de Windows. Así, entre otras acciones, consigue modificar la barra de título del navegador Internet Explorer, deshabilitar la restauración del sistema, u ocultar las extensiones de los ficheros.

El troyano Ceckno.J está diseñado para descargar otros malware en los ordenadores a los que afecta, así como para actuar de backdoor o puerta trasera.

Este código malicioso tienes dos componentes: uno de tipo downloader, encargado de descargar el malware en sí, y un componente backdoor, descargado por el primero. Cuando se instala en el ordenador, crea copias de sí mismo y realiza un escaneo de puertos hasta que se consigue descargar el backdoor o alcanza un número máximo de intentos (como máximo 15). En cada intento aumenta en uno el puerto a través del cual está intentando descargarse el malware.

Una vez descargado el componente backdoor, el downloader cesa su ejecución, con lo que el sistema no muestra ningún signo de estar infectado. Sin embargo, un tiempo después, el backdoor se ejecuta dejando un puerto abierto a la escucha.

Por último, HostChange.B, es un troyano que se está propagando en mensajes de correo electrónico que anuncian falsamente la muerte de Hugo Chávez, actual presidente de Venezuela.

Dichos mensajes simulan proceder de una conocido medio de comunicación de Venezuela, con el fin de de ganarse la confianza del usuario. Además, incluyen links que dirigen hacía un supuesto vídeo sobre la falsa noticia.

Sin embargo, al pulsar sobre esos enlaces lo que se descarga es un archivo conteniendo a HostChange.B. Este troyano modifica el archivo host del ordenador, asociando la web de una conocida entidad financiera venezolana a otra donde se encuentra una falsa página diseñada para capturar los datos confidenciales de los usuarios.