El informe de esta semana de PandaLabs recoge información sobre los gusanos P2PWorm.AA y Waledac.J y sobre el peligroso virus Sality.AO

P2PWorm.AA es un gusano que cuenta con funcionalidades de adware y también de downloader. Las primeras se manifiestan porque este código malicioso, una vez ha infectado un equipo, muestra publicidad relacionada con temas como el software o la descarga de aplicaciones. Puede ver un ejemplo aquí

Respecto a las funcionalidades de downloader, éstas permiten al gusano descargar en el equipo otros ejemplares de malware: Esas descargas se llevan a cabo en las carpetas de intercambio de distintos programas P2P con el fin de que otros usuarios se descarguen las copias de esos códigos maliciosos y se infecten también. Para ello, disfraza esos códigos como si se tratasen de cracks para programas, aplicaciones, etc.

“Cada vez es más común ver como un mismo código malicioso cuenta con funcionalidades de dos o tres tipos de malware (gusano, adware, troyano,…). De este modo, los ciberdelincuentes buscan rentabilizar sus infecciones, atacando al usuario de varias maneras distintas”, explica Luis Corrons, director técnico de PandaLabs.

Waledac.J, por su parte, es un gusano con capacidad de enviar e-mails gracias a que cuenta con un motor de cliente SMTP incorporado. En estos Mails envía una copia de si mismo con la intención de propagarse. El gusano envía esos mails a todos los contactos del usuario, para lo cuál habrá robado previamente esas direcciones.

Además, este gusano está diseñado para poder descargar otros ejemplares de malware en el equipo. Para engañar al usuario, esos ejemplares descargados parecen ser un archivo de imagen y  tiene una extensión .JPG. Puede ver un ejemplo aquí: http://www.flickr.com/photos/panda_security/3294033419/

Sality.Ao, es virus que aúna técnicas de los virus del pasado con funcionalidades propias del nuevo malware y destinadas a la obtención de beneficios económicos para sus creadores.

Sality.AO utiliza técnicas que hace años que no se veían como EPO  o Cavity. Ambas son técnicas relacionadas con el modo en que se lleva a cabo la modificación del fichero original para infectarlo, haciendo más difícil de detectar esa modificación así como la posterior desinfección. Así, la técnica EPO permite la ejecución de parte del fichero legal antes de que comience la infección, lo que dificulta la detección del ejemplar. Por su parte, la técnica Cavity consiste en la utilización de los espacios en blanco del código del fichero legal para insertar el código maliciosos del virus, lo que, además de hacerle más difícil de localizar dificulta enormemente su desinfección.

A estas técnicas relacionadas con los primeros ejemplares de malware, Sality.AO añade funcionalidades del nuevo malware como la posibilidad de conectarse a un canal IRC para recibir órdenes de su creador y poder tomar el control de la máquina y convertirla en un ordenador zombi. A través de estos ordenadores zombies se lleva a cabo acciones como el envío de spam, la distribución de malware, ataques de denegación de servicio, etc.

Igualmente, no se limita a la infección de ficheros como los viejos ejemplares de virus, sino que también busca distribuirse a través de la web como los ejemplares más novedosos. Para ello, infecta los archivos PHP, ASP y .HTML que encuentre en el equipo con un iFrame. Debido a esto, cuando alguno de esos ficheros es ejecutado el navegador es redirigido, sin que el usuario se dé cuenta, a una página maliciosa en la que se lanza un exploit contra el equipo con el fin de descargar en él nuevos ejemplares de malware.

Puede obtener más información sobre este ejemplar en esta nota de prensa: http://www.pandasecurity.com/spain/homeusers/media/press-releases/viewnews?noticia=9565