DigiSign Data Security Logo   Productos, servicios, consultoría Seguridad en la transmisión de información y en el comercio electrónico Noticias sobre Seguridad, Criptografía, etc.
  Temas de hacking y seguridad Pagina Central Preguntas Frecuentes y Ayudas
  Ir a la Página Superior

PrettyPark: nuevo gusano troyano en Internet

 
Versión web de este artículo:  http://www.pandasoftware.es/lista

Reproducido con autorización de OXYGEN3 24h-365d
Servicio de noticias de Panda Software International

Madrid, 4 de Junio de 1999-- Bajo el atractivo nombre de PrettyPark (Bonito Parque) un nuevo gusano con características de troyano está propagándose rápidamente a través de Internet. Este programa llega a los usuarios en forma de archivo adjunto en un email. Al ejecutarse se instala en el sistema, y envía mensajes con una copia de sí mismo a las direcciones de la Agenda de Direcciones de Windows (Windows Address Book), también informa a usuarios de determinados canales IRC sobre configuraciones del sistema y passwords, e incluso puede llegar a usarse como troyano.

El gusano es un archivo PE ejecutable de un tamaño de unos 37 Kbytes comprimido con la utilidad WWPack32. Al descomprimirse, pasa a tener un tamaño real de 58 Kbytes escrito en Delphi. A pesar de este pequeño tamaño -para ser una aplicación Delphi-, el gusano tiene muchas características que lo convierten en un programa peligroso de rápidapropagación.

Cuando PrettyPark se ejecuta por primera vez en el sistema, comprueba que no exista una copia anterior en memoria. Para ello, busca una ventana con el encabezamiento "#32770", en caso de no existir tal ventana, el gusano se registra a sí mismo como una aplicación oculta (no visible en la lista de tareas) y ejecuta su rutina de instalación.

Una vez activo, entre las acciones que realiza se cuenta el intento de conectar con un servidor de IRC, de entre una lista de trece servicios incluída en el propio virus, y envía mensajes a un usuario del chat. De esta forma el autor del virus puede recoger los datos de las estaciones afectadas y monitorizarlas.

Cuando el autor reconoce al gusano, PrettyPark puede ser manipulado, como si de un troyano se tratara, para obtener datos como la lista de discos, directorios, información confidencial, logins y passwords de conexión a Internet, etc. Como troyano también da la opción de eliminar y crear archivos o directorios, ejecutar programas, etc.

Para reproducirse, el virus realiza una rutina cada 30 segundos. Accede al libro de direcciones, para leer las direcciones de email y envía un mensaje en el que incluye el archivo PrettyPark.exe como adjunto y, como asunto del mensaje, la línea
C:\CoolProgs\PrettyPark.exe; en el texto del mensaje no incluye nada más. Con esto, el receptor del mensaje tan sólo recibe un archivo ejecutable, pero al provenir de una fuente conocida, lo ejecutará confiado y continuará de esta forma el ciclo de vida del virus.

Panda Antivirus Platinum, detecta este nuevo virus al entrar en el correo electrónico, independientemente del programa que se utilice para leer el e-mail. Asimismo, permite bloquear los puertos para impedir que los troyanos, como el Win32/PrettyPark ,se conecten a internet sin consentimiento del usuario. Para cualquier comentario sobre esta noticia, por favor contáctelos en: oxygen365_staff@pandasoftware.com

 

Fuente: Boletin Kriptopolis

 

Volver al Comienzo de Página