Controlado desde el
19/10/97 por NedStat
|
Virus que usan el IRC... aunque Ud. no lo use
|
|
VSantivirus No. 1039, Año 7, Lunes 12 de mayo de 2003
Virus que usan el IRC... aunque Ud. no lo use
http://www.vsantivirus.com/ar12-05-03.htm
Por Angela Ruiz
angela@videosoft.net.uy
Si usted no utiliza ningún programa de chat, y no tiene instalado en su PC ningún cliente de IRC (Internet Relay Chat), de ningún modo significa que está a salvo de los troyanos o gusanos que se valen de estos servicios. Solo es necesario que su computadora se conecte a Internet para estar en peligro.
Un reciente informe del fabricante de antivirus Sophos, detalla un notorio aumento de los virus que prefieren explotar los canales de IRC, tanto para propagarse, como para usar sus protocolos en el envío de comandos a troyanos que toman el control de la computadora infectada.
"La explotación de los sistemas de chat, como el IRC, han crecido notoriamente en los últimos años", dice Carole Theriault, consultora mayor de seguridad de Sophos. "FunnyFile, visto en abril de 2001
(http://www.vsantivirus.com/hello.htm), fue el primer virus escrito para plataformas MSN Messenger. Significó poco riesgo para los usuarios, pero demostró la vulnerabilidad de los sistemas de chat y mensajería".
"Vemos un notorio aumento de virus que explotan varias rutas para esparcirse más, y también para hacerlo más rápido", dice Theriault. "Algunos identifican esto como 'amenazas mezcladas' o 'ataques en cóctel'. De ese modo virus que normalmente usan el correo electrónico para reenviarse masivamente como el W32/Avril o el W32/Fizzer, también se propagan por otros medios, incluyendo sistemas de chat y redes de archivos compartidos", explica Carole.
La última variante del Randon (http://www.vsantivirus.com/randon-i.htm), es uno de esos "cócteles", que se propaga a través de los canales de IRC y redes compartidas, liberando no menos de 36 archivos en la carpeta System de Windows.
Una vez instalado en la computadora infectada, el gusano puede ser utilizado para llevar a cabo ataques de denegación de servicio distribuidos (varias computadoras en forma simultánea pueden dirigir sus ataques a una sola víctima), o "inundar" (flooding) canales de IRC con basura.
También puede escanear en busca de puertos abiertos en otras computadoras y sistemas en un intento de acceder a ellos, valiéndose del uso de contraseñas débiles o nombres de usuario dejados por defecto luego de una instalación.
A finales de la semana pasada, el W32/Kickin (http://www.vsantivirus.com/kickin-a.htm) empezó a propagarse a través de un e-mail que utiliza un poco de ingeniería social para incitar al usuario a abrirlo, incluyendo supuestas imágenes de Saddam en Irak o protecciones contra la epidemia de pulmonía atípica, SARS. También libera un script que instala un cliente de mIRC para enviarse a otros usuarios, además de hacerlo por correo electrónico. Y no importa que el usuario no tenga instalado ningún programa de chat en su sistema.
W32/Fizzer.A (http://www.vsantivirus.com/fizzer-a.htm), es otro que llega como un gusano común mostrando varios asuntos y con remitentes falsos, y que intenta eliminar a los programas antivirus. Pero además ejecuta un componente que se conecta a los canales de IRC y queda a la espera de comandos enviados por un pirata informático, permitiendo el control remoto de la computadora infectada, a los efectos de llevar a cabo ataques de denegación de servicio, entre otras cosas.
Cuando reciba información de un gusano que utiliza el IRC para propagarse, ya no se confíe de estar a salvo, solo porque usted no tiene instalado ningún programa para chatear.
Relacionados:
W32/Hello.worm. Primer virus para el MSN Messenger
http://www.vsantivirus.com/hello.htm
W32/Randon.I. Utiliza el puerto 445 para propagarse
http://www.vsantivirus.com/randon-i.htm
W32/Kickin.A. Se propaga vía e-mail, redes P2P e IRC
http://www.vsantivirus.com/kickin-a.htm
W32/Fizzer.A. Usa correo e IRC, finaliza antivirus
http://www.vsantivirus.com/fizzer-a.htm
W32/Avril.A. Roba contraseñas, borra antivirus, infecta red
http://www.vsantivirus.com/avril-a.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|