|
PrettyPark: nuevo gusano troyano en Internet Reproducido con autorización de OXYGEN3 24h-365d Madrid, 4 de Junio de 1999-- Bajo el atractivo nombre de PrettyPark (Bonito Parque) un nuevo gusano con características de troyano está propagándose rápidamente a través de Internet. Este programa llega a los usuarios en forma de archivo adjunto en un email. Al ejecutarse se instala en el sistema, y envía mensajes con una copia de sí mismo a las direcciones de la Agenda de Direcciones de Windows (Windows Address Book), también informa a usuarios de determinados canales IRC sobre configuraciones del sistema y passwords, e incluso puede llegar a usarse como troyano. El gusano es un archivo PE ejecutable de un tamaño de unos 37 Kbytes comprimido con la utilidad WWPack32. Al descomprimirse, pasa a tener un tamaño real de 58 Kbytes escrito en Delphi. A pesar de este pequeño tamaño -para ser una aplicación Delphi-, el gusano tiene muchas características que lo convierten en un programa peligroso de rápidapropagación. Cuando PrettyPark se ejecuta por primera vez en el sistema, comprueba que no exista una copia anterior en memoria. Para ello, busca una ventana con el encabezamiento "#32770", en caso de no existir tal ventana, el gusano se registra a sí mismo como una aplicación oculta (no visible en la lista de tareas) y ejecuta su rutina de instalación. Una vez activo, entre las acciones que realiza se cuenta el intento de conectar con un servidor de IRC, de entre una lista de trece servicios incluída en el propio virus, y envía mensajes a un usuario del chat. De esta forma el autor del virus puede recoger los datos de las estaciones afectadas y monitorizarlas. Cuando el autor reconoce al gusano, PrettyPark puede ser manipulado, como si de un troyano se tratara, para obtener datos como la lista de discos, directorios, información confidencial, logins y passwords de conexión a Internet, etc. Como troyano también da la opción de eliminar y crear archivos o directorios, ejecutar programas, etc. Para reproducirse, el virus realiza una rutina cada 30
segundos. Accede al libro de direcciones, para leer las direcciones de email y envía un
mensaje en el que incluye el archivo PrettyPark.exe como adjunto y, como asunto del
mensaje, la línea Panda Antivirus Platinum, detecta este nuevo virus al
entrar en el correo electrónico, independientemente del programa que se utilice para leer
el e-mail. Asimismo, permite bloquear los puertos para impedir que los troyanos, como el
Win32/PrettyPark ,se conecten a internet sin consentimiento del usuario. Para cualquier
comentario sobre esta noticia, por favor contáctelos en: oxygen365_staff@pandasoftware.com
Fuente: Boletin Kriptopolis
Volver al Comienzo de Página
|