27 de junio de 2008 - El informe de PandaLabs de esta semana destaca al gusano DdonAba.A, al troyano Torpig.VIC, y al backdoor OSX/AsTHT.A.

DdonAba.A llega al ordenador con un icono característico. En caso de que el usuario ejecute el archivo, copia una imagen alusiva al creador del gusano en la unidad C:\.

Al mismo tiempo, crea un fichero Autorun.inf en la raíz de todas las unidades que existan en el equipo, a partir de la letra F:\. También genera una copia de sí mismo con el nombre Abaddon.exe en la carpeta c:\windows\system32.

Por último, DdonAba.A borra todos los archivos con extensiones .mp3 (audio) y .doc (documentos de texto) que encuentre en la unidades infectadas.

Por su parte, Torpig.VIC es un troyano de tipo bancario que tiene como objetivo robar datos financieros relativos a determinados servicios de banca online.

En caso de que el usuario ejecute un archivo infectado por dicho troyano, éste quedará al acecho, a la espera de que se tecleen determinadas cadenas de texto correspondientes a los nombres de ciertas entidades bancarias.

Así, cuando detecta una de esas cadenas, Torpig.VIC intercepta los datos que el usuario introduce en los formularios, redirige el tráfico de red y modifica las respuestas a las peticiones de los navegadores.

Posteriormente, envía la información capturada a un servidor de Internet, para que el hacker pueda acceder a los datos robados y realizar operaciones fraudulentas.

Finalmente, OSX/AsTHT.A es un backdoor diseñado para afectar a sistemas operativos de Apple como MacOS, Leopard o Tiger.

Tras ejecutarlo, el backdoor utiliza una vulnerabilidad de Apple Remote Desktop Agent para escalar privilegios y conseguir derechos de administrador. A continuación, se copia a sí mismo en el sistema y envía un mail al creador para notificar la infección. Además, asocia la IP de la victima a un servicio de DNS Dinamica para seguir teniendo acceso al equipo infectado aunque este cambie de dirección.

OSX/AsTHT.A abre un acceso al equipo a través de un servidor VNC (Vine Server) que lleva incluido, y también a través de SSH. También activa un servidor web donde está alojada una herramienta de control remoto.

Este código malicioso suelta un keylogger en el sistema que puede capturar imágenes a través de la cámara integrada iSight.

Además, si en el PC hay más de un usuario registrado intenta adivinar las claves de los mismos mediante un programa de fuerza bruta. También está diseñado para desactivar el firewall y desactivar, borrar y modificar varios logs del sistema para evitar así dejar rastro y dificultar su detección.