CIUDAD DE MÉXICO, México, septiembre, 2002.- El primer troyano que analizamos hoy es Bck/RBackdoor que, por defecto, abre el puerto 4820 y establece la contraseña "redkod". Tras introducirse en una pc permanece en ella de forma residente, intentando ocultarse y aprovechar conexiones de tipo Telnet, u otros programas de comunicaciones.
Por otra parte, y para ejecutarse cada vez que se inicia Windows, Bck/RBackdoor crea una clave en el equipo al que afecta, en el que también copia un archivo que contiene el código del troyano.
El segundo troyano se denomina Trj/Nidra y modifica la configuración del sistema para activarse cada vez que se ejecute un archivo con extensión EXE o TXT.
Igualmente crea, cada vez que se activa, un proceso en memoria que conlleva la ralentización de la pc afectada. En él -concretamente en el directorio de sistema de Windows- también genera dos archivos denominados N0TEPAD.EXE y WINNDOW386.EXE, que son dos copias del troyano.
Trj/Nidra cambia varias claves del Registro de Windows de la pc, al tiempo que crea otras con el objetivo de activarse cada vez que se encienda el equipo. Por último, al finalizar su ejecución, Trj/Nidra muestra un mensaje en pantalla.
El tercer y último troyano al que nos referimos es Inwi (Trj/Inwi) que, como el anteriormente citado, realiza los cambios necesarios en el sistema al que afecta para ejecutarse cada vez que se abra un archivo con extensión EXE o TXT.
Además, crea varios archivos en el equipo, incluyendo copias de sí mismo, para conseguir datos que después envía a una determinada dirección de correo electrónico. Igualmente, cambia la configuración de Internet Explorer y la página URL que aparece por defecto.
Concluimos el presente resumen recordando a las variantes B y C de Linux/Slapper.C que aparecieron a principios de esta semana.
Como su antecesora, aprovechan una vulnerabilidad de desbordamiento de buffer descubierta en el componente OpenSSL de servidores web Apache que funcionan bajo determinadas distribuciones de Linux (como algunas versiones de Mandrake, SuSe, Slackware, RedHat, Debian y Gentoo).
Por contra, se diferencian de su predecesora en el número del puerto UDP que emplean para llevar a cabo su ataque (en concreto, Linux/Slapper.B emplea el puerto UDP 1978 y Linux/Slapper.C el 4156), y en las distribuciones de Linux que son vulnerables a sus efectos.
Más información sobre estos u otros códigos maliciosos en la Enciclopedia de Virus de Panda Software, disponible en la dirección: http://www.pandasoftware.es/enciclopedia/
