(Por El Microsaurio) La semana pasada agregamos comentarios a la nota sobre Boletines de Seguridad Microsoft de noviembre. Un par de avisos llegados durante la semana desde dos oficinas de Microsoft USA relacionadas con seguridad, más otros mensajes de otras fuentes, hicieron que este paciente saurio recolectara datos. Te acerco algo más, para que puedas revisar alguna máquina que te produzca desconfianza.
Una de las variantes es un troyano que instala un backdoor. Luego de descargado en la compu infectada, arranca un script por medio del cual se abre una comunicación con un canal dentro de un servidor de IRC. Allí está el “patrón” que dará instrucciones, como levantar el contenido del Clipboard o conectarse a cuantas máquinas haya en la red y bajarles una copia de sí mismo.
Otra acción peligrosa: verifica si en determinada máquina está activo el Firewall de Windows, y se anota entre el software autorizado. Luego de lo cual, como ha modificado el Registry de la PC parasitada, en cada arranque se activa y sigue buscando víctimas en el vecindario.
La mayoría de los antivirus que se venden en Buenos Aires ya tiene a este bicho en sus lista de detección, pero si (como escribí arriba) tenés alguna máquina sospechosa, te acerco información:
* Para comunicarse con su jefe, usa el port TCP 6556.
* Dentro del Registry, agrega el valor “MS Gaurd Driver” con el dato “msgaurd.exe”; el valor “SoundMAX Driver” con el dato “soundmax.exe” y el valor “MediaAVI Driver” con el dato “mediaavi.exe”. Ojo que lo de <Gaurd> en lugar de <Guard> está en la documentación del laboratorio de Microsoft, por lo cual supongo que lo copiaron textual y el que invirtió las letras fue el autor del malware.
Tres datos finales:
* Dentro del código del worm están sus probables nombres: “Purple 0.1c” y “#Purple-Exploit#”
* El Malware Protection Center de Microsoft recomienda no borrar nada “a mano”, pues el bicho esconde código en varios lugares de la compu. El remedio es un escaneo cuidadoso con antivirus actualizado.
* Los autores del análisis que te resumí (y que tiene cuatro páginas) son Chris Jones y Patrick Nolan, del Center mencionado arriba.
Espero que la información te haya sido útil. A laburar…