PROGRAMAS MALICIOSOS
-
Upload
wilmercito-najarro -
Category
Documents
-
view
466 -
download
1
Transcript of PROGRAMAS MALICIOSOS
PROGRAMAS MALICIOSOS
I. Gusanos de red
a. Gusanos de correo electrónico
1. Email-Worm.JS.CoolNow
Alias
Email-Worm.JS.CoolNow (Kaspersky Lab) También conocido como: I-Worm.CoolNow (Kaspersky Lab),
JS/Exploit-Messenger.gen (NAI), JS.Menger.Worm (NAV), JS/Coolnow-B (Sophos), JS/Coolnow* (RAV), JS_MENGER.GEN (PCCIL), JSc/CoolNow.4 (H+BEDV), JS/Coolnow.A@mm (FPROT), VBS:CoolNow (AVAST), JS/Coolnow.A (AVG), JS.Coolnow.A (BitDef7), JS/Coolnow (Panda), JS/Coolnow.A (Nod32)
Descripción agregada 10 jul 2006
Comportamiento I-Worm
Detalles técnicos
Éste virus es un ―gusano‖ que se propaga por Internet usando MSN Messenger (instant messaging program). El gusano en sí mismo es un JS-script (Java Script) situada en un archivo HTML. Envía los mensajes que contienen una dirección URL hacia una página Web infectada.
Cuando el gusano es ejecutado, obtiene la lista de contactos del MSN Messenger, enviando a todos sus destinatarios el siguiente mensaje:
"URGENT - Go to http://www.rjdesigns.co.uk/cool Now"
Esta dirección apunta hacia un archivo HTML, que contiene el cuerpo del ―gusano‖.
Después de enviar los mensajes infectados por correo electrónico, el gusano utiliza un script ubicado en el mismo sitio para enviar un mensaje de correo-e a: "[email protected]‖. Este mensaje contiene la dirección IP del ordenador infectado, y remite al usuario a la siguiente dirección:
"http://www.rjdesigns.co.uk/cool/go.htm"
Hecho esto, el gusano no tiene ninguna carga útil.
2. Email-Worm.JS.Gigger
Alias
Email-Worm.JS.Gigger (Kaspersky Lab) También conocido como: I-Worm.Gigger (Kaspersky Lab),
JS/Gigger.a@MM (NAI), JS.Gigger.A@mm (NAV), JS.Gigger (DrWeb), JS/Gigger.A@mm* (RAV), JS_GIGGER.A (PCCIL), VBS:Gigger (AVAST), JS.Gigger.A (BitDef7)
Descripción agregada 10 jul 2006
Comportamiento I-Worm
Detalles técnicos
Éste es un gusano peligroso. Se reproduce utilizando Outlook, Outlook Express y mIRC. Este gusano se escribe en JavaScript y en Visual Basic Script (VBS). Contiene secuencias destructivas capaces de formatear el disco duro del usuario después de reiniciarse, puede suprimir todos los archivos en todos los discos disponibles.
Instalación
Mientras el gusano se instala en el sistema, inserta varios archivos:
C:\Bla.hta
C:\B.htm
C:\Windows\Samples\Wsh\Charts.js
C:\Windows\Help\Mmsn_offline.htm
El gusano busca el mensaje ―already infected‖ en el registro, si no existe, el gusano lo crea.
La presencia de la infección se muestra en el siguiente registro:
HKEY_CURRENT_USER\Software\thegrave\badusers\v2.0
El gusano busca todos los discos conectados al network copiándose en ellos en la siguiente ubicación:
Windows\Start Menu\Programs\StartUp\Msoe.hta
Propagación por correo electrónico
El gusano usa Outlook y Outlook Express para extenderse mandando mensajes infectados por correo electrónico.
El mensaje infectado tiene las siguientes características:
Subject: Outlook Express Update
Body: MSNSoftware Co.
Attachment: mmsn_offline.htm
El gusano también envía un mensaje que contiene las direcciones de correo-e de sus destinatarios a una dirección de correo electrónico que parece pertenecer al autor del gusano.
Propagación por IRC
El gusano descubre la carpeta de instalación de la aplicación mIRC de un usuario, creando allí el archivo "script.ini". Después de esto, el gusano se re-envía a sí mismo a cada uno de los usuarios conectados en el mismo canal del IRC que el cliente infectado.
Nombre del archivo enviado a través del mIRC: "mmsn_offline.htm‖
Contenido
El gusano agrega la línea siguiente en el archivo Autoexec.bat:
ECHO y|format c:
El resultado se verá al reiniciarse la unidad C: formateada
En los días 1ro, 5to, 10mo, 15vo o 20vo del mes, el gusano borra todos los archivos de todos los discos disponibles.
3. Email-Worm.JS.Nevezed
Alias
Email-Worm.JS.Nevezed (Kaspersky Lab) También conocido como: I-Worm.Nevezed (Kaspersky Lab),
JS/Nevezed@MM (NAI), JS.Reven@mm (NAV), JS/Gorum-A (Sophos), JS/Reven.gen* (RAV), JS_VEREN.A (PCCIL), JS/Neversaw (H+BEDV), JS/Never.A@mm (FPROT), VBS:Generic-Mail (AVAST), JS/Never (AVG), JS.Nevezed.A@mm (BitDef7), Worm.Nevezed (Clamav), Worm Generic (Panda)
Descripción agregada 10 jul 2006
Comportamiento I-Worm
Detalles técnicos
Nevezed es un virus que se propaga por Microsoft Outlook. Este gusano es un archivo JavaScript de 4KB de
tamaño, escrito en Java.
Instalación
Durante la instalación, el gusano se copia dentro del sistema de Windows en el directorio de arranque (StartUp) con el nombre "StartUp.js" y en el directorio de Windows System con el nombre de "CmdWsh32.js‖. Estos se insertan más tarde en el registro del sistema como un archivo java-class. El gusano también crea una copia de seguridad de sí mismo en el directorio raíz de otros discos.
Propagación por correo electrónico
Para enviar mensajes infectados el gusano utiliza el MS Outlook. Manda correos a todas las direcciones que encontró en la libreta de direcciones de la víctima.
Los mensajes infectados enviados por el gusano tienen varios títulos en Asunto del mensaje. Algunos podrían ser:
Hello name
Hey name
Fwd: Hey You!
Fwd: Check this!
Fwd: Just Look
Fwd: Take a look!
Fwd: Loop at this!
Fwd: Check this out!
Fwd: It's Free!
Fwd: Look!
Fwd: Free Mp3s!
Fwd: Here you go!
Fwd: Have a look!
Look name!
Fwd: Read This!
Texto del cuerpo de mensaje:
Hello!
Check out this great list of mp3 sites that I included in the attachments! I can get any Mp3 file that I want from these sites, and its free! And please don't be greedy! forward this email to all the people that you consider friends, and Let them benefit from these Mp3 sites aswell! Enjoy !
Los mensajes infectados contienen alguno de los siguientes archivos adjuntos:
Free_Mp3s.js
Fwd_Mp3s.js
Mp3_Sites.js
Mp3_Web.js
Mp3_List.js
Mp3_Pages.js
Web_Mp3s.js
Mp3-Sites.js
Fwd-Mp3s.js
Mp3-Fwd.js
Fwd-Sites.js
4. Email-Worm.Win32.Chet.a
Alias
Email-Worm.Win32.Chet.a (Kaspersky Lab) También conocido como: I-Worm.Chet.a (Kaspersky Lab),
W32/Chet.a@MM (NAI), W32.Chet@mm (NAV), Win32.HLLM.Otchet.26628 (DrWeb), W32/Chet-A (Sophos), Win32/Chet.A@mm (RAV), WORM_CHET.A (PCCIL), Worm/Chet (H+BEDV), W32/Chet@mm (FPROT), Win32:Chet (AVAST), I-Worm/Chet.A (AVG), Win32.Chet.A@mm (BitDef7), W32/Chet@MM (Panda), Win32/Chet.A (Nod32)
Descripción agregada 10 jul 2006
Comportamiento I-Worm
Detalles técnicos
Éste gusano es un virus que se difunde por Internet mediante un archivo adjunto a los correo electrónicos infectados. Es un archivo de Windows PE EXE de 27Kb de la tamaño, escrito en Microsoft Visual C++.
Los mensajes Infectados tienen los siguientes campos:
From: [email protected]
To: You
Subject: All people!!
Attach: 11september.exe
Body:
El gusano se activa en caso de que un usuario haga clic en el archivo adjunto. Después el gusano se instala en el sistema y ejecuta su secuencia propagándose.
Instalación
Se copia en el directorio del sistema de Windows con el nombre "synchost1.exe" y coloca ese archivo en el registro del sistema de autoarranque:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run ICQ1 = %SystemDir%\synchost1.exe
El archivo original entonces es eliminado.
Difusión
Para conseguir el correo de la víctima, el gusano se conecta con el MS Outlook y envía mensajes a todas las direcciones encontrada en la libreta de direcciones del Outlook. También consigue archivos WAB y lee los correos de la victima desde allí.
Para enviar mensajes infectados el gusano utiliza una conexión directa "mail.ru" al servidor SMTP.
Otro
El gusano también envía dos mensajes de notificación a este ―master". La primera notificación es enviada antes de propagarse (véase arriba), el segundo mensaje se envía enseguida después de ejecutarse la rutina. Estos dos mensajes se envían a tres direcciones:
Tienen los siguientes Asunto del mensaje:
message1: Otchet from user
message2: Otchet2 from user
El cuerpo de mensaje contiene la lista de correos de la víctima y el nombre completo del archivo ejecutable del gusano.
5. Email-Worm.Win32.Warezov.nf
Otras versiones: .at, .bw, .do, .et, .jv, .lb, .ms, .nv, .on, .op, .qa
Detección agregada 19 abr 2007 04:17 GMT
Actualización lanzada 19 abr 2007 04:40 GMT
Descripción agregada 19 abr 2007
Comportamiento I-Worm
Plataforma Win32
Detalles técnicos
Daños
Instrucciones de eliminación
Detalles técnicos
Es un virus-gusano que se propaga por Internet en los datos adjuntos de los mensajes de correo infectados. En los datos adjuntos el gusano no pone su copia, sino un componente que puede cargar de Internet otros programas nocivos.
Los mensajes infectados se envían a todas las direcciones de correo electrónico encontradas en el ordenador.
El gusano es una aplicación Windows (archivo PE EXE). Está comprimido con Upack. El tamaño de los componentes del gusano puede ser de 20 a 135 kilobytes.
Instalación
Durante su inicio, el gusano muestra el siguiente texto en la pantalla:
Al ejecutarse, el virus copia su archivo ejecutable al catálogo del sistema de Windows bajo el nombre:
%System%\hotpmsta.exe
Y crea los siguientes archivos:
%System%\hotpmsta.dll
%System%\hotpmsta.dat
Además, el troyano crea la siguiente llave en el registro del sistema:
[HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\hotpmsta]
"DllName" = "%System%\hotpmsta.dll"
"Startup" = "WlxStartupEvent"
"Shutdown" = "WlxShutdownEvent"
"Impersonate" = dword:00000000
"Asynchronous" = dword:00000000
Propagación por correo electrónico
Analiza las libretas de direcciones de Microsoft Windows buscando las direcciones de las víctimas.
Para enviar los mensajes infectados, el gusano usa su propia biblioteca SMTP.
Ejemplo de carta infectada:
En los datos adjuntos el gusano no pone su copia, sino un componente que puede cargar de Internet otros programas nocivos.
Daños
Acciones del módulo principal del gusano
Termina los procesos, detiene y elimina los servicios de los programas antivirus y los cortafuegos personales.
El fichero ejecutable principal del gusano descarga de los sitios de los delincuentes diferentes programas nocivos y los instala en el sistema del usuario.
Acciones del componente enviado por correo
Este componente lo envía el módulo principal del gusano. Su función es descargar de Internet otros ficheros sin que el usuario se dé cuenta.
Descarga un archivo de la siguiente dirección:
http://linktunhdesa.com/***32.exe
En el momento en que escribíamos esta descripción, en la dirección indicada se encontraba la última versión del fichero ejecutable del gusano.
El fichero descargado se guarda en el directorio temporal de Windows bajo un nombre también temporal y se lo ejecuta.
Instrucciones de eliminación
Detección. El procedimiento de detección de esta versión del gusano ha sido publicado en una actualización
urgente de la base de datos de Kaspersky Anti-Virus. Si la defensa proactiva de Kaspersky Anti-Virus 6.0 está habilitada, es capaz de detectar este gusano y evitar sus acciones destructivas sin necesidad de las actualizaciones de la base antivirus.
Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, sigua las siguientes instrucciones para eliminarlo:
1. Abrir el Administrador de Tareas y terminar el proceso original del gusano.
2. Eliminar el archivo original de la puerta trasera (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
3. Eliminar manualmente los siguientes ficheros del catálogo del sistema de Windows:
4. %System%\hotpmsta.exe
5. %System%\hotpmsta.dll
%System%\hotpmsta.dat
6. Eliminar la llave del registro:
[HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\hotpmsta]
7. Eliminar todas las cartas infectadas de todos los directorios de correo.
8. Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
6. Email-Worm.Win32.NetSky.aa
Otras versiones: .b, .q, .t, .x, .y
Alias
Email-Worm.Win32.NetSky.aa (Kaspersky Lab) También conocido como:
W32/Netsky.z@MM (NAI), W32.Netsky.Z@mm (NAV), Win32.HLLM.Netsky.22016 (DrWeb), W32/Netsky-AE (Sophos), Win32/Netsky.Z@mm (RAV), WORM_NETSKY.Z (PCCIL), Worm/NetSky.AA (H+BEDV), W32/Netsky.AK@mm (FPROT), I-Worm/Netsky.Z (AVG), Win32.Netsky.AA@mm (BitDef7), Worm.SomeFool.AA-2 (Clamav), W32/Netsky.Z.worm (Panda), Win32/Netsky.Z (Nod32)
Detección agregada 03 dic 2004
Descripción agregada 07 jul 2006
Comportamiento I-Worm
Detalles técnicos
Este gusano se propaga vía Internet como archivo adjunto a los mensajes de correo electrónico infectados.
Posee una función de ―puerta trasera‖ (backdoor), y es capaz de conducir ataques de Denegación de Servicios (DoS) contra sitios de Internet.
El gusano en sí mismo es un archivo PE EXE de aproximadamente 20KB, comprimido usando UPX.
Instalación
El gusano se copia a sí mismo en el directorio de Windows bajo el nombre de Jammer2nd.exe, inscribe el siguiente archivo en el registro del sistema como archivo auto-ejecutable:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Jammer2nd"="%windir%\jammer2nd.exe"
También crea los archivos PK_ZIP_ALG.LOG y PK_ZIP.LOG en el directorio de Windows.
Estos archivos son copias del gusano en formato UUE y en un archivo ZIP.
El gusano crea el mutex (S)(k)(y)(N)(e)(t) para señalar su presencia en el sistema.
Propagación por correo electrónico
El gusano busca archivos con las siguientes extensiones en todos los discos accesibles de la red: :
adb
asp
cfg
cgi
dbx
dhtm
doc
eml
htm
html
jsp
mbx
mdx
mht
mmf
msg
nch
ods
oft
php
pl
ppt
rtf
sht
shtm
stm
tbb
txt
uin
vbs
wab
wsh
xls
recolecta las direcciones de correo electrónico, enviando una copia de sí mismo a todas las direcciones encontradas. El gusano utiliza su propia biblioteca SMTP para enviar mensajes, y procura establecer una conexión al servidor que recibe los mensajes infectados.
Características de los mensajes infectados.
Los archivos infectados se generan al azar de la siguiente manera:
Dirección del remitente.
Es elegida al azar de las direcciones que encontró en la máquina de la víctima.
Encabezamiento del mensaje (elegido al azar de la lista de abajo)
Hello
Hi
Important
Important bill!
Important data!
Important details!
Important document!
Important informations!
Important notice!
Important textfile!
Important!
Information
Information
Archivo adjunto (elegido al azar de la lista de abajo)
Bill.zip
Data.zip
Details.zip
Important.zip
Informations.zip
Notice.zip
Part-2.zip
Textfile.zip
Los archivos adjuntos tendrán un nombre de la lista de abajo
Bill.txt.exe
Data.txt.exe
Details.txt.exe
Important.txt.exe
Informations.txt.exe
Notice.txt.exe
Part-2.txt.exe
Textfile.txt.exe
Otros
El virus abre el puerto 665 del TCP en la máquina de la víctima para recibir archivos al azar y ejecutarlos.
Dependiendo de los ajustes del reloj del sistema, el gusano puede conducir ataques de Denegación de Servicio (DoS) contra los siguientes sitios
www.educa.ch
www.medinfo.ufl.edu
www.nibis.de
7. Email-Worm.Win32.NetSky.q
Otras versiones: .aa, .b, .t, .x, .y
Alias
Email-Worm.Win32.NetSky.q (Kaspersky Lab) También conocido como: I-Worm.NetSky.q (Kaspersky Lab),
W32/Netsky.ad@MM (NAI), W32.Netsky.P@mm (NAV), Win32.HLLM.Netsky.based (DrWeb), W32/Netsky-P (Sophos), Win32/Netsky.P@mm (RAV), WORM_NETSKY.P (PCCIL), Worm/NetSky.P.2 (H+BEDV), W32/Netsky.P@mm (FPROT), Win32:Netsky-P (AVAST), I-Worm/Netsky.Q (AVG), Win32.Netsky.P@mm (BitDef7), Worm.SomeFool.P-dll (Clamav), W32/Netsky.P.worm (Panda), Win32/Netsky.Q (Nod32)
Descripción agregada 30 jun 2006
Comportamiento I-Worm
Detalles técnicos
Este gusano se propaga a través de Internet como un archivo adjunto a los mensajes infectados. También puede propagarse a traves de redes P2P y directorios http y ftp accesibles.
El componente principal del gusano es un archivo PE EXE de aproximadamente 29KB. El gusano se empaqueta usando FSG; el archivo sin empaquetar es de aproximadamente 40KB de tamaño.
Instalación
El gusano se copia al directorio de Windows bajo el nombre fvprotect.exe y registra este archivo en los códigos de registrosla sección de autoejecución del sistema:
[ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Norton Antivirus AV" = %windir\fvprotect.exe
El gusano también crea un archivo llamado userconfig9x.dll el el directorio de Windows, y otros archivos con los siguientes nombres:
zipped.tmp
base64.tmp
zip1.tmp
zip2.tmp
zip3.tmp
Estos archivos son copias del gusano en formato UEE y archivos ZIP que contienen copias del gusano. Los archivos dentro del archivo ZIP tendrán nombres elegidos de la siguiente lista:
document.txt.exe
data.rtf.scr
details.txt.pif
El gusano crea un mutex (candado), ""_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_", para señalar su presencia en el sistema.
Propagación por correo-ecorreo electrónico
El gusano busca archivos con cualquiera de las siguientes extensiones:
.eml
.txt
.php
.asp
.wab
.doc
.vbs
.rtf
.uin
.shtm
.cgi
.dhtm
.pl
.htm
.html
.adb
.tbb
.dbx
.sht
.oft
.msg
.jsp
.wsh
.xml
y envía copias de sí mismo a las direcciones de correo electrónico recolectadas de estos archivos. El gusano usa su propia biblioteca SMPT para enviar mensajes. El gusano también intenta establecer una conexión directa con el servidor del receptor destinatario del mensaje.
Mensajes Infectados:
Los mensajes infectados contienen combinaciones al azar de las opciones listadas debajo:
Dirección del emisor:
Elegida al azar de aquellas recolectadas por el equipo infectado.
Asunto del mensaje:
Re: Hi
Re: Hello
Re: Encrypted Mail
Re: Extended Mail
Re: Status
Re: Notify
Re: SMTP Server
Re: Mail Server
Re: Delivery Server
Re: Request
Re: Bad Request
Re: Failure
Re: Thank you for delivery
Re: Test
Re: Administration
Re: Message Error
Re: Error
Re: Extended Mail System
Re: Secure SMTP Message
Re: Protected Mail Request
Re: Protected Mail System
Re: Protected Mail Delivery
Re: Secure delivery
Re: Delivery Protection
Re: Mail Authentification
Re: List
Re: Question
Re: Proof of concept
Re: Developement
Re: Message
Re: Error in document
Re: Free porn
Re: Sex pictures
Re: Submit a Virus Sample
Re: Virus Sample
Re: Old times
Re: Old photos
Re: Sample
Re: Its me
Re: Is that your document?
Re: Approved document
Re: Your document
Protected Mail System
Mail Authentication
Is that your password?
Private document
Stolen document
Mail Account
Administrator
Illegal Website
Internet Provider Abuse
Thank you!
Congratulations!
Postcard
Your day
Mail Delivery
Error
Shocking document
You cannot do that!
hi
hello
Fwd: Warning again
Notice again
Spamed?
Spam
0i09u5rug08r89589gjrg
Re: A!p$ghsa
Important m$6h?3p
Do you?
Does it matter?
News
Information
I love you!
I cannot forget you!
here
your
my
thanks!
approved
corrected
patched
improved
important
read it immediately
o una lista de caracteres al azar
Cuerpo del mensaje:
Please see the attached file for details
Please read the attached file!
Your document is attached.
Please read the document.
Your file is attached.
Your document is attached.
Please confirm the document.
Please read the important document.
See the file.
Requested file.
Authentication required.
Your document is attached to this mail.
I have attached your document.
I have received your document. The corrected document is
attached.
Your document.
Your details.
Please confirm!
Please answer quickly!
Thank you for your request, your details are attached!
Thanks!
am shocked about your document!
Let'us be short: you have no experience in writing letters!!!
Try this, or nothing!
Here is it!
Do not visit this illegal websites!
You have downloaded these illegal cracks?
Here is my icq list.
Here is my phone number.
I have visited this website and I found you in the spammer
list. Is that true?
Are you a spammer? (I found your email on a spammer website!?!)
po44u90ugjid-k9z5894z0
9u049u89gh89fsdpokofkdpbm3-4i
Please r564g!he4a56a3haafdogu#mfn3o
SMTP Error #201
See the ghg5%&6gfz65!4Hf55d!46gfgf
Server Error #203
Your photo, uahhh.... , you are naked!
You have written a very good text, excellent, good work!
Your archive is attached.
Monthly news report.
lovely, :-)
your big love, ;-)
I hope you accept the result!
The sample is attached!
Your important document, correction is finished!
Important message, do not show this anyone!
Here is the website. ;-)
My favourite page.
I have corrected your document.
I have attached the sample.
Your bill is attached to this mail.
You were registered to the pay system.
For more details see the attachment.
Binary message is available.
Message has been sent as a binary attachment.
Can you confirm it?
I have attached it to this mail.
Please read the attached file.
Your document is attached.
Encrypted message is available.
Protected message is attached.
Please confirm my request.
ESMTP [Secure Mail System #334]: Secure message is attached.
Partial message is available.
Waiting for a Response. Please read the attachment.
First part of the secure mail is available.
For more details see the attachment.
For further details see the attachment.
Your requested mail has been attached.
Protected Mail System Test.
Secure Mail System Beta Test.
Forwarded message is available.
Delivered message is attached.
Encrypted message is available.
Please read the attachment to get the message.
Follow the instructions to read the message.
Please authenticate the secure message.
Protected message is attached.
Waiting for authentification.
Protected message is available.
Bad Gateway: The message has been attached.
SMTP: Please confirm the attached message.
You got a new message.
Now a new message is available.
New message is available.
You have received an extended message. Please read the
instructions.
I noticed that you have visited illegal websites.
See the name in the list!
You have visited illegal websites.
I have a big list of the websites you surfed.
Your mail account is expired.
See the details to reactivate it.
Your mail account has been closed.
For further details see the document.
The file is protected with the password ghj001.
I have attached your file. Your password is jkl44563.
The sample file you sent contains a new virus version of
mydoom.j.
Please clean your system with the attached signature.
Sincerly,
Robert Ferrew
Greetings from france,
your friend.
Have a look at these.
Best wishes,
your friend.
Congratulations!,
your best friend.
I found this document about you.
I cannot believe that.
Try this game ;-)
I hope the patch works.
Al final del mensaje podría incluirse información falsa de que el mensaje ha sido examinado y declarado limpio por un programa antivirus:
+++ Attachment: No Virus found
+++ MessageLabs AntiVirus - www.messagelabs.com
+++ Attachment: No Virus found
+++ Bitdefender AntiVirus - www.bitdefender.com
+++ Attachment: No Virus found
+++ MC-Afee AntiVirus - www.mcafee.com
+++ Attachment: No Virus found
+++ Kaspersky AntiVirus - www.kaspersky.com
+++ Attachment: No Virus found
+++ Panda AntiVirus - www.pandasoftware.com
++++ Attachment: No Virus found
++++ Norman AntiVirus - www.norman.com
++++ Attachment: No Virus found
++++ F-Secure AntiVirus - www.f-secure.com
++++ Attachment: No Virus found
++++ Norton AntiVirus - www.symantec.de
Hay una gran variedad de posibles nombres para los archivos adjuntos. El archivo adjunto usualmente tiene una extensión doble, siendo la primera extensión .doc o .txt, y la segunda una de la lista siguiente:
exe
pif
scr
zip
El gusano también puede enviarse como un archivo ZIP.
El gusano no se envía a direcciones que contengan:
@antivi
@avp
@bitdefender
@fbi
@f-pro
@freeav
@f-secur
@kaspersky
@mcafee
@messagel
@microsof
@norman
@norton
@pandasof
@skynet
@sophos
@spam
@symantec
@viruslis
abuse@
noreply@
ntivir
reports@
spam
El gusano podría puede enviar mensajes que contengan el IFRAME
Exploit,
de la misma manera que lo hicieron Klez.h y Swen. Cuando esto
sucedeEn este caso, si el mensaje es visto porvisualizado en
un cliente de correo electrónico vulnerable, el archivo que
contiene
al el gusano se ejecutará automáticamente.
Propagación por P2P
El gusano crea múltiples copias de sí mismo en todos los
subdirectorios
que contengan cualquiera de las palabras de la siguiente lista:
bear
donkey
download
ftp
htdocs
http
icq
kazaa
lime
morpheus
mule
my shared folder
shar
shared files
upload
Los archivos creados por el gusano tendrán recibirán
nombres
elegidos de la siguiente lista:
Kazaa Lite 4.0 new.exe
Britney Spears Sexy archive.doc.exe
Kazaa new.exe
Britney Spears porn.jpg.exe
Harry Potter all e.book.doc.exe
Britney sex xxx.jpg.exe
Harry Potter 1-6 book.txt.exe
Britney Spears blowjob.jpg.exe
Harry Potter e book.doc.exe
Britney Spears cumshot.jpg.exe
Harry Potter.doc.exe
Britney Spears fuck.jpg.exe
Harry Potter game.exe
Britney Spears.jpg.exe
Harry Potter 5.mpg.exe
Britney Spears and Eminem porn.jpg.exe
Matrix.mpg.exe
Britney Spears Song text archive.doc.exe
Britney Spears full album.mp3.exe
Eminem.mp3.exe
Britney Spears.mp3.exe
Eminem Song text archive.doc.exe
Eminem Sexy archive.doc.exe
Eminem full album.mp3.exe
Eminem Spears porn.jpg.exe
Ringtones.mp3.exe
Eminem sex xxx.jpg.exe
Ringtones.doc.exe
Eminem blowjob.jpg.exe
Altkins Diet.doc.exe
Eminem Poster.jpg.exe
American Idol.doc.exe
Cloning.doc.exe
Saddam Hussein.jpg.exe
Arnold Schwarzenegger.jpg.exe
Windows 2003 crack.exe
Windows XP crack.exe
Adobe Photoshop 10 crack.exe
Microsoft WinXP Crack full.exe
Teen Porn 15.jpg.pif
Adobe Premiere 10.exe
Adobe Photoshop 10 full.exe
Best Matrix Screensaver new.scr
Porno Screensaver britney.scr
Dark Angels new.pif
XXX hardcore pics.jpg.exe
Microsoft Office 2003 Crack best.exe
Serials edition.txt.exe
Screensaver2.scr
Full album all.mp3.pif
Ahead Nero 8.exe
netsky source code.scr
E-Book Archive2.rtf.exe
Doom 3 release 2.exe
How to hack new.doc.exe
Learn Programming 2004.doc.exe
WinXP eBook newest.doc.exe
Win Longhorn re.exe
Dictionary English 2004 - France.doc.exe
RFC compilation.doc.exe
1001 Sex and more.rtf.exe
3D Studio Max 6 3dsmax.exe
Keygen 4 all new.exe
Windows 2000 Sourcecode.doc.exe
Norton Antivirus 2005 beta.exe
Gimp 1.8 Full with Key.exe
Partitionsmagic 10 beta.exe
Star Office 9.exe
Magix Video Deluxe 5 beta.exe
Clone DVD 6.exe
MS Service Pack 6.exe
ACDSee 10.exe
Visual Studio Net Crack all.exe
Cracks & Warez Archiv.exe
WinAmp 13 full.exe
DivX 8.0 final.exe
Opera 11.exe
Internet Explorer 9 setup.exe
Smashing the stack full.rtf.exe
Ulead Keygen 2004.exe
Lightwave 9 Update.exe
The Sims 4 beta.exe
Otros
Si el gusano encuentra las los códigosclaves listadas
debajode la siguiente
lista en el registro del sistema
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVer
sion\Run]
las eliminará.
Explorer
system.
msgsvr32
winupd.exe
direct.exe
jijbl
service
Sentry
au.exe
direct.exe
d3dupdate.exe
OLE
gouday.exe
rate.exe
Taskmon
Windows Services Host
sysmon.exe
srate.exe
ssate.exe
winupd.exe
También eliminará los códigoslas claves
system.
Video
de la sección
HKLM\SOFTWARE\Microsoft\Windows\C
urrentVersion\RunServices
Y los siguientes componentes de los
códigosvalores de las claves, creadas
por I-Worm.Bagle.
HKLM\SYSTEM\CurrentControlSet\Ser
vices\WksPatch
HKCU\SOFTWARE\Microsoft\Windows\C
urrentVersion\Explorer\PINF
HKCR\CLSID\CLSID\{E6FB5E20-DE35-
11CF-9C87-
00AA005127ED}\InProcServer32
b. IM Worms (gusanos de mensajes instantáneos)
1. Wa
IM-Worm.Win32.Bropia.aj
Otras versiones: .ad
Alias
IM-Worm.Win32.Bropia.aj (Kaspersky Lab) También conocido como: IM-Worm.Win32.VB.e (Kaspersky Lab),
Detección agregada 04 feb 2005
Descripción agregada 30 jun 2006
Comportamiento IM-Worm
Detalles técnicos
Este gusano se propaga a través de Internet usando MSN Messenger. Está escrito en Visual Basic y es de aproximadamente 200 KB de tamaño.
El gusano contiene un programa backdoor, el Backdoor.Win32.Rbot.hg que mismo para ser descomprime e instala en el equipo de la víctima.
Instalación
Una vez ejecutado, el gusano se copia al directorio raíz (como regla, C:\) bajo uno de los siguientes nombres:
bedroom-thongs.pif
Hot.pif
LMAO.pif
LOL.scr
naked_drunk.pif
new_webcam.pif
ROFL.pif
underware.pif
Webcam.pif
También el gusano se copia al directorio del sistema de Windows como "msnus.exe":
%System%\msnus.exe
El gusano busca los siguientes archivos:
dnsserv.exe
winhost.exe
winis.exe
Si no los encuentra, IM-Worm.Win32.VB.e baja el archivo "cz.exe" y lo ejecuta. Este archivo es una puerta trasera. Kaspersky Anti-Virus detectará este componente como Backdoor.Win32.Rbot.hg.
Cuando "cz.exe" se ejecuta, se copia en el directorio del sistema de Windows como "winhost.exe".
Luego se registra en el registro del sistema:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKCU\Software\Microsoft\OLE]
"win32" = "winhost.exe"
El gusano también crea el archivo "sexy.jpg" en el directorio raíz y lo abre, mostrando la siguiente imagen:
Propagación por MSN
Cuando se ejecuta, el gusano obtiene acceso a la lista de contactos de MSN Messenger y se envía a todos los contactos bajo uno de los nombres mencionados anteriormente.
Daños
El gusano cambia los niveles de volumen a cero.
2. Dsa
IM-Worm.Win32.Bropia.ad
Otras versiones: .aj
Alias
IM-Worm.Win32.Bropia.ad (Kaspersky Lab) También conocido como:
W32/Kelvir.worm.gen (NAI), W32.Kelvir (NAV), Win32.HLLW.Bropia (DrWeb), W32/Bropia-W (Sophos), WORM_BROPIA.W (PCCIL), Worm/Bropia.AD (H+BEDV), W32/Bropia.AC (FPROT), Worm/Kelvir.2.K (AVG), Win32.Worm.Bropia.U (BitDef7), W32/Bropia.AP.worm (Panda), Win32/Kelvir.BR (Nod32)
Detección agregada 20 may 2005 22:15 GMT
Descripción agregada 30 jun 2006
Comportamiento IM-Worm
Detalles técnicos
Este gusano está escrito en Visual Basic y normalmente tiene dos componentes: el gusano de Mensajes Instantáneos en sí, y una variante de Backdoor.Win32.Rbot incluida en el archivo. El backdoor se empaqueta usualmente con UPX y Morphine. Será detectado como Backdoor.Win32.Rbot.gen.
El gusano es de 188,416 bytes de tamaño. La puerta trasera que está incluida en el archivo del gusano es de 86,528 bytes de tamaño cuando está empaquetada, y de aproximadamente 1.23MB cuando no lo está.
Instalación
Este gusano llegará probablemente en un fichero descargado de P2P o como un link por MSN Messenger.
Al ser ejecutado, el gusano se copia al directorio del sistema como msnadp32.exe. También se copia al directorio compartido de varias aplicaciones de P2P.
La puerta trasera también se queda en C:\tmpdata como ImSexy.exe. Una vez ejecutado, se convierte en %sysdir%\pwmgr.exe y elimina ImSexy.exe.
El gusano añade una clave al registro para asegurarse de ser ejecutado cuando se inicie Windows.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R
un]
MSN Administration For Windows="msnadp32.exe"
El backdoor también añade claves al registro para asegurarse de ser ejecutado cuando se inicie Windows.
[HKEY_USERS\S-1-5-21-1482476501-162531612-839522115-
1003\Software\Microsoft\OLE]
WinPWD Manager="pwmgr.exe"
[HKEY_USERS\S-1-5-21-1482476501-162531612-839522115-
1003\Software\Microsoft\Windows\CurrentVersion\Run]
WinPWD Manager="pwmgr.exe"
[HKEY_USERS\S-1-5-21-1482476501-162531612-839522115-
1003\Software\Microsoft\Windows\CurrentVersion\RunServices]
WinPWD Manager="pwmgr.exe"
[HKEY_USERS\S-1-5-21-1482476501-162531612-839522115-
1003\SYSTEM\CurrentControlSet\Control\Lsa]
WinPWD Manager="pwmgr.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
WinPWD Manager="pwmgr.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R
un]
WinPWD Manager="pwmgr.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R
unServices]
WinPWD Manager="pwmgr.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa]
WinPWD Manager="pwmgr.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
WinPWD Manager="pwmgr.exe"
Daños
El gusano es usado eficazmente para propagar el backdoor Rbot. Esta variante de Rbot tiene muchas funciones, incluyendo: recibir y ejecutar archivos, descubrir contraseñas, actuar como un servidor FTP, actuar como un servidor proxy, revisar puertos, dirigir ataques DoS, capturar pantallas y camáras web y propagarse a través de redes utilizando exploits y ataques de diccionarios.
También puede robar los códigos de varios juegos populares para PC.
El archivo local encontrado en %sysdir%\drivers\etc será reemplazado. Esto impide el acceso del equipo infectado a varios sitios de internet relacionados con seguridad.
Propagación
El gusano envía mensajes a todas las direcciones en la lista de contactos de MSN. Los mensajes incluyen una conexión a un archivo malicioso .php; esta conexión contiene la dirección de correo electrónico del destinatario. Una vez que el destinatario hace click sobre el enlace, su dirección de correo electrónico será guardada para luego ser usada por los spammers (para enviar correspondencia no solicitada).
[nickname] says:
lmao you dumbass!
[nickname] says:
http://freebuddyicons.[censored].php?user=[recipient's email
address]
Bropia envía estas dos secuencias con cierta regularidad, para maximizar las opciones de que el destinatario haga click sobre el link.
El gusano también utiliza redes P2P para propagarse. Se copia al directorio compartido de varias aplicaciones P2P usando los siguientes nombres:
Adult ID Check.exe
Aim Flooder.exe
Aim Hacker.exe
AIMHacks.exe
Anarchist CookBook.exe
AVPDVDRip.mpg.exe
BF1942FULL.exe
BFVietnam.exe
BigBoobs.exe
BigBoobsXXX.exe
Britney XXX.exe
broadband wizard.exe
cable accelerator.exe
cable uncapper.exe
CallofDutyFULL.exe
CoolGames.exe
Cool_Games.exe
CounterStrike.exe
CounterStrikeSOURCE.exe
CounterStrikeSourceFULL.exe
Cracker Game.exe
Cracks Collections.Exe
Credit Card.exe
Delphi6 Keygen.exe
DOOM3_FULL.exe
DownLoad Accelerator Plus.exe
Dreamcast BootDisc.exe
Dropitlikeitzhot.exe
DVDRipper.exe
Easy CD Creator 5.exe
email hacker.exe
exeeenSaver.exe
F-ProtAV-Full.exe
FBISecretDocuments.exe
FTP Commander.exe
Ftp Cracker.exe
Ftp Hacker.exe
FuckedHARDXXX.exe
Gladiator (Movie) - Full Downloader.exe
GTAViceCity.exe
Hacker Kit.exe
Hacker.exe
HackingWebpage.exe
HackingWindowsXP.exe
HackingXP.exe
HalfLife2FULL+Crack.exe
HalfLife2FULL.exe
Halflife2KeyGen.exe
HalfLife2_FULL.exe
Hotmail Account Hacker.exe
Hotmail Hack.exe
Hotmail Hacker.exe
Hotmail Password Cracker.exe
HotmailHackerKit.exe
How-to-Hack.exe
HowtoHack.exe
Icq Ad Remover.exe
Icq Banner Remover.exe
ICQ Hack.exe
icq hacker.exe
icq ip patch.exe
Ident Faker.exe
Ident Spoofer.exe
IE6 Final.exe
InDaClub.exe
irc flooder.exe
IRobotDVDRip.mpg.exe
Jasc Paint Shop Pro 7 (Full).exe
JeniferLopezNUDE.exe
Johnny English (Movie) - Full Downloader.exe
Kazaa ad remover.exe
LanGuard NetScan.exe
Linux RootKit.exe
Matrix Reloaded.exe
McafeeAntiVirus.exe
MedalofHonorPacificAssultFULL.exe
Microsoft Office Full.exe
MiddleSchoolPornXXX.exe
Mirc6 Full.exe
mirc6 keygen.exe
Mp3 Maker Pro.exe
mp3 to wav full.exe
Msn Hacker.exe
MSN Messenger Password Stealer.exe
MS_Frontpage.exe
NeroBurningRom 6.exe
Norton AntiVirus Full.exe
Norton Keygen-All Vers.exe
NortonAntirVirus2005FULL.exe
NortonAntiVirus2005FULL.exe
NortonPersonalFirewallFULL.exe
NudeCheerleaders.exe
OfficeXP sp2 express.exe
PasswordCrackers.exe
PCChillen.exe
pE packer.exe
Peck.exe
PhotoShopCS8.0_Crack.exe
PipeBombTutorial.exe
PreTeenBlowJob.exe
PreTeenSEX.exe
PreTeenXXX.exe
PS1 BootDisc.exe
PS2 BootDisc.exe
PSXCopy Full.exe
Salford.exe
Serials 2k.exe
Serials Collections.exe
SexyChickXXXHarcore.exe
SexyTeen.exe
Simpsons.exe
SluttyCheerleaders.exe
SohposAntiVirusFULL.exe
Sopohs_Anti_Virus.exe
SpywareKiller.exe
SteelCap.exe
StylesXP.exe
Sub7 Master Password.exe
Sub7 Remover.exe
SwordFish (Movie) - Full Downloader.exe
SxyTeenagePorn.exe
SxyTeenageSEX.exe
SxyTeenFuckedHARD.exe
SxyTeenGetsItuptheASS.exe
TeenSexHardcore.exe
Trillian Patcher.exe
Trillian Pro Full.exe
Trojan Remover.exe
uin2ip.exe
VS.Net Patcher.exe
Wadle.exe
WallPapersXXX.exe
webpage hacker.exe
WebpageHackingTools.exe
WebRootSpySweeper.exe
Westdene.exe
Win Proxy.exe
Win Shares Cracker.exe
Win-RAR-FULL+CRACK.exe
Win-RAR-FULL.exe
Win98 Hacker.exe
WinXP Keygen.exe
WinXPHacking.exe
www hacker kit.exe
XPHackes.exe
xxx exeeensaver.exe
XXX Virtual Sex.exe
XXXCollection.exe
XXXHighSchoolSluts.exe
XXXMagaPack.exe
XXXTeenSexXXX.exe
XXXWallpaperCollection.exe
Yahoo Hacker.exe
Zip_RAR_PWCracker.exe
ZoneAlarm Pro Full.exe
ZoneAlarm.exe
Rbot se propaga a través de redes, aprovechando las vulnerabilidades de Windows que no han sido reparadas, intenta forzar su entrada a los ordenadores probando ataques de diccionario.
Eliminación
Cerciórese de que su antivirus esté al día. Si su sistema está infectado, y no puede ingresar al sitio de su distribuidor de aintivirus, elimine el archivo ―host‖ encontrado en %sysdir%\drivers\etc e intente de nuevo.
Realice una revisión completa de su sistema.
Los usuarios de Kaspersky Anti-Virus deben eliminar todos los archivos detectados como IM-Worm.Win32.Bropia.ad y Backdoor.Win32.Rbot.gen. Reinicie si es necesario.
3. Sa
IM-Worm.Win32.Sumom.a
Alias
IM-Worm.Win32.Sumom.a (Kaspersky Lab) También conocido como:
W32/Generic.worm!p2p (NAI), W32.Serflog.A (NAV), Win32.HLLW.Generic.113 (DrWeb), W32/Sumom-A (Sophos), Worm:Win32/Crazog.A (RAV), WORM_FATSO.A (PCCIL), Worm/Sumom.a.html (H+BEDV), W32/Sumom.A (FPROT), Worm/Fatso.A (AVG), Win32.Worm.Sumom.A (BitDef7), Worm.Sumom.A-3 (Clamav), W32/Fatso.A.worm (Panda), Win32/Sumom.A (Nod32)
Detección agregada 07 mar 2005 04:14 GMT
Descripción agregada 06 jul 2007
Comportamiento IM-Worm
Detalles técnicos
Virus-gusano. Se propaga mediante MSN en forma de enlaces al fichero infectado.
Está empaquetado con por medio de varios programas a la vez. El tamaño del fichero empaquetado es de 17KB; descomprimido, 155KB bytes.
Instalación
Se copia a sí mismo al catálogo de Windows bajo uno de los siguientes nombres:
formatsys.exe
lspt.exe
msmbw.exe
serbw.exe
El fichero copiado se marca con el atributo "oculto" (hidden), lo que permite hacerlo invisible a la mayora de los usuarios.
Se registra bajo uno de los siguientes nombres:
avnort
ltwob
serpe
En las siguientes llaves del registro del sistema:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\R
un][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio
n\RunServices][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cu
rrentVersion\policies\Explorer\Run]
Suplanta el fichero %WINDIR%\System32\Drivers\etc\hosts con los valores de la siguiente lista, lo que le permite impedir que los usuarios de Windows se conecten a los sitios de las compañías antivirus:
64.233.167.104 avp.com
64.233.167.104 ca.com
64.233.167.104 customer.symantec.com
64.233.167.104 dispatch.mcafee.com
64.233.167.104 download.mcafee.com
64.233.167.104 f-secure.com
64.233.167.104 grisoft.com
64.233.167.104 kaspersky.com
64.233.167.104 kaspersky-labs.com
64.233.167.104 liveupdate.symantec.com
64.233.167.104 liveupdate.symantecliveupdate.com
64.233.167.104 mast.mcafee.com
64.233.167.104 mcafee.com
64.233.167.104 my-etrust.com
64.233.167.104 nai.com
64.233.167.104 networkassociates.com
64.233.167.104 rads.mcafee.com
64.233.167.104 sandbox.norman.no
64.233.167.104 secure.nai.com
64.233.167.104 securityresponse.symantec.com
64.233.167.104 sophos.com
64.233.167.104 symantec.com
64.233.167.104 trendmicro.com
64.233.167.104 uk.trendmicro-europe.com
64.233.167.104 update.symantec.com
64.233.167.104 updates.symantec.com
64.233.167.104 us.mcafee.com
64.233.167.104 viruslist.com
64.233.167.104 www.avp.com
64.233.167.104 www.ca.com
64.233.167.104 www.f-secure.com
64.233.167.104 www.grisoft.com
64.233.167.104 www.kaspersky.com
64.233.167.104 www.mcafee.com
64.233.167.104 www.my-etrust.com
64.233.167.104 www.nai.com
64.233.167.104 www.networkassociates.com
64.233.167.104 www.pandasoftware.com
64.233.167.104 www.sophos.com
64.233.167.104 www.symantec.com
64.233.167.104 www.trendmicro.com
64.233.167.104 www.viruslist.com
Se propaga bajo los siguientes nombres:
Annoying crazy frog getting killed.pif
Crazy frog gets killed by train!.pif
Fat Elvis! lol.pif
How a Blonde Eats a Banana...pif
Jennifer Lopez.scr
LOL that ur pic!.pif
lspt.exe
Me on holiday!.pif
Mona Lisa Wants Her Smile Back.pif
My new photo!.pif
See my lesbian friends.pif
The Cat And The Fan piccy.pif
Topless in Mini Skirt! lol.pif
Manifestaciones de su presencia en el sistema
Se crean ficheros con los siguientes nombres en el catálogo raíz del disco CÑ con atributos "ocultos":
Annoying crazy frog getting killed.pif
Crazy frog gets killed by train!.pif
Crazy-Frog.Html
Fat Elvis! lol.pif
How a Blonde Eats a Banana...pif
Jennifer Lopez.scr
LOL that ur pic!.pif
lspt.exe
Me on holiday!.pif
Message to n00b LARISSA.txt
Mona Lisa Wants Her Smile Back.pif
My new photo!.pif
See my lesbian friends.pif
The Cat And The Fan piccy.pif
Topless in Mini Skirt! lol.pif
Destruye los siguientes procesos activos en el sistema:
apvxdwin.exe
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avconsol.exe
avengine.exe
avsynmgr.exe
avwupd32.exe
avxquar.exe
bawindo.exe
blackd.exe
ccapp.exe
ccevtmgr.exe
ccproxy.exe
ccpxysvc.exe
cfiaudit.exe
cmd.exe
defwatch.exe
drwebupw.exe
escanh95.exe
escanhnt.exe
firewall.exe
frameworkservice.exe
icssuppnt.exe
icsupp95.exe
luall.exe
lucoms~1.exe
mcagent.exe
mcshield.exe
mcupdate.exe
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
msconfig.exe
msdev.exe
navapsvc.exe
navapw32.exe
nisum.exe
nopdb.exe
nprotect.exe
nupgrade.exe
ollydbg.exe
outpost.exe
pavfires.exe
pavproxy.exe
pavsrv50.exe
peid.exe
petools.exe
regedit.exe
reshacker.exe
rtvscan.exe
rulaunch.exe
savscan.exe
shstat.exe
sndsrvc.exe
symlcsvc.exe
taskmgr.exe
Update.exe
updaterui.exe
vshwin32.exe
vsstat.exe
vstskmgr.exe
w32dasm.exe
winhex.exe
wscript.exe
Al descomprimirse contiene los siguientes renglones:
'-F-u-c-k-'-Y-o-u-'
Hey LARISSA fuck off, you fucking n00b!.. Bla bla to your fucking
Saving the world from Bropia, the world n33ds saving from you!
'-S-K-Y-'-D-E-V-I-L-'
.:*Fuck-Off*:.
c. Gusanos de internet
1. Hffd
Email-Worm.Win32.Eyeveg.f
Otras versiones: .b, .g
Alias
Email-Worm.Win32.Eyeveg.f (Kaspersky Lab) También conocido como: Worm.Win32.Eyeveg.f (Kaspersky
Lab), W32/Eyeveg.worm.gen (NAI), W32.Lanieca.A@mm (NAV), Win32.HLLW.Eyeveg.2 (DrWeb), W32/Wurmark-J (Sophos), Worm:Win32/Eyeveg.E (RAV), WORM_WURMARK.J (PCCIL), Worm/Cipie (H+BEDV), W32/Eyeveg.H@mm (FPROT), PSW.Agent.5.V (AVG), Trojan.Spy.Agent.AJ (BitDef7), Trojan.W32.PWS.Prostor.A (Clamav), W32/Eyeveg.F.worm (Panda), Win32/Eyeveg.I (Nod32)
Detección agregada 09 may 2005 08:21 GMT
Descripción agregada 30 jun 2006
Comportamiento Worm
Detalles técnicos
ste gusano está escrito en Visual C++ y se compone de dos archivos, un archivo ejecutable (EXE) y una biblioteca de enlace dinámico (dynamic link library ó DLL), la cual se encuentra dentro del archivo EXE. El archivo EXE se empaqueta usando UPX, y es de un tamañosu tamaño es de 80384 bytes. El archivoEl tamaño del archivo DLL es de un tamaño de 77824 bytes.
Instalación
El gusano se copia al directorio del sistema bajo un nombre cualquiera compuesto de 6 letras. El archivo DLL se guardará en el mismo lugar. En sistemas Win9x, este proceso será veladoinvisible.
Daños
El gusano desactivará las barreras internas de seguridad internas de Windows XP.
Actuará como un decodificador de contraseñas, recolectando detalles de carpetas compartidas, contraseñas que han sido guardadas en el Navegador de Internet, contraseñas de correo-ecorreo electrónico y otros datos confidenciales. Luego utiliza http POST para enviar esta información a www.melan******oll.biz/n.php.
Propagación por correo electrónico-e
El gusano se envía a direcciones de correo electrónico recolectadas de archivos con extensiones como: html, eml, sht, asp, mbx.
Nombres de los archivos adjuntos:
love.jpg ...scr
resume.doc ...scr
details.doc ...scr
news.doc ...scr
image.jpg ...scr
message.txt ...scr
pic.jpg ...scr
girls.jpg ...scr
photo.jpg ...scr
video.avi ...scr
music.mp3 ...scr
song.wav ...scr
screensaver ...scr
El archivo adjunto también puede llegar como un archivo ZIP, utilizando los nombres mencionados anteriormente.
Propagación por redes
El gusano también se copia a carpetas compartidas abiertas.
2. Bff
Net-Worm.Linux.Lupper.a
Detección agregada 07 nov 2005 04:54 GMT
Descripción agregada 24 ene 2008
Comportamiento Net-Worm
Detalles técnicos
Este programa malicioso propaga unos archivos con formato ELF y representa un peligro para los servidores web de Linux.
El gusano se propaga a través de las siguientes vulnerabilidades:
1. AWStats Rawlog Plugin Logfile Parameter Input Validation Vulnerability (Bugtraq 10950);
2. XML-RPC for PHP Remote Code Injection Vulnerability (Bugtraq ID 14088);
3. Darryl Burgdorf Webhints Remote Command Execution Vulnerability (Bugtraq ID 13930).
Las siguientes aplicaciones contienen estas vulnerabilidades:
b2evolution
Drupal
PHPGroupWare
PostNuke
TikiWiki
WordPress
Xoops
Estas vulnerabilidades fueron corregidas en las últimas versiones de los programas.
Una serie de instrucciones se ejecutan en los servidores a través de las vulnerabilidades. Primero, una copia del gusano se descarga desde una dirección fija utilizando wget. La copia del gusano se guarda en el directorio /tmp como "lupii". Luego, un bit ejecutable se incrusta utilizando la instrucción chmod, y el archivo ejecutable se auto-ejecuta.
Además, instala una puerta trasera en el puerto UDP 7222 del servidor comprometido y espera recibir instrucciones.
El gusano genera una lista de URLs que contienen las siguientes cadenas de texto:
/awstats/
/b2/xmlsrv/xmlrpc.php
/b2evo/xmlsrv/xmlrpc.php
/blog/xmlrpc.php
/blog/xmlsrv/xmlrpc.php
/blogs/xmlrpc.php
/blogs/xmlsrv/xmlrpc.php
/blogtest/xmlsrv/xmlrpc.php
/cgi/awstats/
/cgi/hints.cgi
/cgi/hints.pl
/cgi/includer.cgi
/cgi-bin/
/cgi-bin/awstats/
/cgi-bin/hints.cgi
/cgi-bin/hints.pl
/cgi-bin/hints/hints.cgi
/cgi-bin/hints/hints.pl
/cgi-bin/inc/includer.cgi
/cgi-bin/include/includer.cgi
/cgi-bin/includer.cgi
/cgi-bin/stats/
/cgi-bin/webhints/hints.cgi
/cgi-bin/webhints/hints.pl
/cgi-local/includer.cgi
/community/xmlrpc.php
/drupal/xmlrpc.php
/hints.cgi
/hints.pl
/hints/hints.cgi
/hints/hints.pl
/includer.cgi
/phpgroupware/xmlrpc.php
/scgi/awstats/
/scgi/hints.cgi
/scgi/hints.pl
/scgi/includer.cgi
/scgi-bin/
/scgi-bin/awstats/
/scgi-bin/hints.cgi
/scgi-bin/hints.pl
/scgi-bin/hints/hints.cgi
/scgi-bin/hints/hints.pl
/scgi-bin/inc/includer.cgi
/scgi-bin/include/includer.cgi
/scgi-bin/includer.cgi
/scgi-bin/stats/
/scgi-bin/webhints/hints.cgi
/scgi-bin/webhints/hints.pl
/scgi-local/includer.cgi
/scripts/
/stats/
/webhints/hints.cgi
/webhints/hints.pl
/wordpress/xmlrpc.php
/xmlrpc.php
/xmlrpc/xmlrpc.php
/xmlsrv/xmlrpc.php
Esta lista se utiliza para contagiar otros anfitriones.
3. Dsaa
Net-Worm.Win32.Mytob.bk
Otras versiones: .be, .bi, .r, .w
Alias
Net-Worm.Win32.Mytob.bk (Kaspersky Lab) También conocido como:
W32/Mytob.gen@MM (NAI), W32.Mytob.ED@mm (NAV), Win32.HLLM.MyDoom.55 (DrWeb), W32/Mytob-AS (Sophos), WORM_MYTOB.EE (PCCIL), Worm/Mytob.FH (H+BEDV), W32/Mytob.FK@mm (FPROT), Win32.Worm.Mytob.CC (BitDef7), Worm.Mytob.AS (Clamav), W32/Mytob.FB.worm (Panda), Win32/Mytob.EA (Nod32)
Detección agregada 11 jun 2005 11:26 GMT
Descripción agregada 30 jun 2006
Comportamiento Net-Worm
Detalles técnicos
Este gusano de red infecta ordenadores con Windows. El gusano en sí es un archivo PE EXE, escrito en Visual C++ y empaquetado usando UPX. El tamaño del archivo es de 57470 bytes. El archivo sin empaquetar tiene un tamaño aproximado de 116KB.
También se extiende por Internet como un anexo a los mensajes infectados Se envía a direcciones de correo electrónico recolectadas del ordenador de la víctima.
El gusano contiene una puerta trasera (backdoor) que recibe instrucciones vía IRC.
Instalación
Una vez ejecutado, el gusano se copia a sí mismo al directorio del sistema de Windows como "wincfg32.exe".
%System%\wincfg32.exe
Luego se copia a sí mismo en el registro del sistema de Windows, para asegurar su ejecución cada vez que Windows sea reiniciado en el equipo de la víctima:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Windows Configuration" = "wincfg32.exe"
También cambia la siguiente clave del registro para bloquear el servicio al Acceso compartido (Shared Access):
[HKLM\System\CurrentControlSet\Services\SharedAccess]
"Start" = "4"
Cambia un rango en la siguiente clave delvarias claves de la siguiente sección del registro del sistema para modificar los ajustea configuracións de seguridad de Internet Explorer:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\3]
Propagación por correo electrónico
El gusano se envía a las direcciones de correo electrónico recogidas de la libreta de direcciones de Windows y los archivos con las siguientes extensiones:
adb
asp
cgi
dbx
htm
html
jsp
php
pl
sht
tbb
txt
wab
xml
El gusano ignora las direcciones que contienen las siguientes cadenas de texto:
.gov
.mil
abuse
accoun
acketst
admin
admin
administrator
anyone
arin.
avp
berkeley
borlan
bsd
bsd
bugs
ca
certific
contact
example
feste
fido
foo.
fsf.
gnu
gold-certs
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
info
inpris
isc.o
isi.e
kernel
linux
linux
listserv
math
me
mit.e
mozilla
msn.
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
register
rfc-ed
ripe.
root
ruslis
samples
secur
secur
sendmail
service
service
site
soft
somebody
someone
sopho
spam
spm
submit
support
support
syma
tanford.e
the.bat
unix
unix
usenet
utgers.ed
webmaster
webmaster
www
you
your
El gusano establece un enlaceuna conexión directao al servidor SMTP del destinatario para enviar los mensajes infectados.
Mensajes infectados
Remitente (incluye uno de los nombres listados abajo):
adam
alex
andrew
anna
bill
bob
bob
brenda
brent
brian
claudia
dan
dave
david
debby
frank
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
jose
josh
julie
kevin
leo
linda
maria
mary
matt
michael
michael
mike
paul
peter
ray
robert
sales
sam
sandra
serg
smith
stan
steve
ted
tom
Asunto del mensaje (elegido al azar de la lista de abajo)
*DETECTED* Online User Violation
Email Account Suspension
Important Notification
Members Support
Notice of account limitation
Security measures
Warning Message: Your services near to be closed.
You have successfully updated your password
Your Account is Suspended
Your Account is Suspended For Security Reasons
Your new account password is approved
Your password has been successfully updated
Your password has been updated
Cuerpo del mensaje (elegido al azar de la lista de abajo)
Dear user <random name>,
You have successfully updated the password of your <random name>
account.
If you did not authorize this change or if you need assistance with
your account, please contact <random name> customer service at:
<random name>
Thank you for using <random name>!
The <random name> Support Team
+++ Attachment: No Virus (Clean)
+++ <random name> Antivirus - www. <random name>
Dear user <random name>,
It has come to our attention that your <random name> User Profile ( x
) records are out of date. For further details see the attached
document.
Thank you for using <random name>!
The <random name> Support Team
+++ Attachment: No Virus (Clean)
+++ <random name> Antivirus - www. <random name>
Dear <random name> Member,
We have temporarily suspended your email account <random name>.
This might be due to either of the following reasons:
1. A recent change in your personal information (i.e. change of
address).
2. Submiting invalid information during the initial sign up process.
3. An innability to accurately verify your selected option of
subscription due to an internal error within our processors.
See the details to reactivate your <random name> account.
Sincerely,The <random name> Support Team
+++ Attachment: No Virus (Clean)
+++ <random name> Antivirus - www. <random name>
Dear <random name> Member,
Your e-mail account was used to send a huge amount of unsolicited spam
messages during the recent week. If you could please take 5-10 minutes
out of your online experience and confirm the attached document so you
will not run into any future problems with the online service.
If you choose to ignore our request, you leave us no choice but to
cancel your membership.
Virtually yours,
The <random name> Support Team
+++ Attachment: No Virus found
+++ <random name> Antivirus - www. <random name>
Nombre del archivo adjunto (elegido al azar de la lista de abajo)
accepted-password
account-details
account-info
account-password
account-report
approved-password
document
email-details
email-password
important-details
new-password
password
readme
updated-password
El archivo adjunto puede tener una de las siguientes extensiones:
.bat
.cmd
.exe
.pif
.scr
El archivo adjunto también puede ser un archivo .ZIP, que contiene una copia del gusano en un archivo de doble extensión por ejemplo:
important-details.txt .scr
Administración a distancia
Net-Worm.Win32.Mytob.bk abre el un puerto TCP en el ordenador de la víctima y se conecta a canales IRC de charla interactiva para recibir órdenes. Esto da al usuario malicioso un acceso completo al equipo de la víctima vía canales IRC, para recibir información del ordenador infectado, descargar archivos, iniciarlos y eliminarlos.
Otros
El gusano escribe el siguiente texto en el archivo "%System%\drivers\etc\hosts". Esto significa que el usuario de la máquina infectada es incapaz de ingresar a estos sitios.
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.lycos-vds.com
127.0.0.1 t35.com
127.0.0.1 www.t35.com
127.0.0.1 t35.net
127.0.0.1 www.t35.net
127.0.0.1 funpic.org
127.0.0.1 www.funpic.org
127.0.0.1 funpic.de
127.0.0.1 www.funpic.de
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
Detendrá su proceso si los nombres contienen las siguientes cadenas:
ACKWIN32.EXE
ADAWARE.EXE
ADVXDWIN.EXE
AGENTSVR.EXE
AGENTW.EXE
ALERTSVC.EXE
ALEVIR.EXE
ALOGSERV.EXE
AMON9X.EXE
ANTI-TROJAN.EXE
ANTIVIRUS.EXE
ANTS.EXE
APIMONITOR.EXE
APLICA32.EXE
APVXDWIN.EXE
ARR.EXE
ATCON.EXE
ATGUARD.EXE
ATRO55EN.EXE
ATUPDATER.EXE
ATUPDATER.EXE
ATWATCH.EXE
AUPDATE.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AUTOUPDATE.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCC32.EXE
AVGCTRL.EXE
AVGNT.EXE
AVGSERV.EXE
AVGSERV9.EXE
AVGUARD.EXE
AVGW.EXE
AVKPOP.EXE
AVKSERV.EXE
AVKSERVICE.EXE
AVKWCTl9.EXE
AVLTMAIN.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVSYNMGR.EXE
AVWINNT.EXE
AVWUPD.EXE
AVWUPD32.EXE
AVWUPD32.EXE
AVWUPSRV.EXE
AVXMONITOR9X.EXE
AVXMONITORNT.EXE
AVXQUAR.EXE
AVXQUAR.EXE
BACKWEB.EXE
BARGAINS.EXE
BD_PROFESSIONAL.EXE
BEAGLE.EXE
BELT.EXE
BIDEF.EXE
BIDSERVER.EXE
BIPCP.EXE
BIPCPEVALSETUP.EXE
BISP.EXE
BLACKD.EXE
BLACKICE.EXE
BLSS.EXE
BOOTCONF.EXE
BOOTWARN.EXE
BORG2.EXE
BPC.EXE
BRASIL.EXE
BS120.EXE
BUNDLE.EXE
BVT.EXE
CCAPP.EXE
CCEVTMGR.EXE
CCPXYSVC.EXE
CDP.EXE
CFD.EXE
CFGWIZ.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLEAN.EXE
CLEANER.EXE
CLEANER3.EXE
CLEANPC.EXE
CLICK.EXE
CMD32.EXE
CMESYS.EXE
CMGRDIAN.EXE
CMON016.EXE
CONNECTIONMONITOR.EXE
CPD.EXE
CPF9X206.EXE
CPFNT206.EXE
CTRL.EXE
CWNB181.EXE
CWNTDWMO.EXE
CLAW95CF.EXE
DATEMANAGER.EXE
DCOMX.EXE
DEFALERT.EXE
DEFSCANGUI.EXE
DEFWATCH.EXE
DEPUTY.EXE
DIVX.EXE
DLLCACHE.EXE
DLLREG.EXE
DOORS.EXE
DPF.EXE
DPFSETUP.EXE
DPPS2.EXE
DRWATSON.EXE
DRWEB32.EXE
DRWEBUPW.EXE
DSSAGENT.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
EFPEADM.EXE
EMSW.EXE
ENT.EXE
ESAFE.EXE
ESCANHNT.EXE
ESCANV95.EXE
ESPWATCH.EXE
ETHEREAL.EXE
ETRUSTCIPE.EXE
EVPN.EXE
EXANTIVIRUS-CNET.EXE
EXE.AVXW.EXE
EXPERT.EXE
EXPLORE.EXE
F-PROT.EXE
F-PROT95.EXE
F-STOPW.EXE
FAMEH32.EXE
FAST.EXE
FCH32.EXE
FIH32.EXE
FINDVIRU.EXE
FIREWALL.EXE
FNRB32.EXE
FP-WIN.EXE
FP-WIN_TRIAL.EXE
FPROT.EXE
FRW.EXE
FSAA.EXE
FSAV.EXE
FSAV32.EXE
FSAV530STBYB.EXE
FSAV530WTBYB.EXE
FSAV95.EXE
FSGK32.EXE
FSM32.EXE
FSMA32.EXE
FSMB32.EXE
GATOR.EXE
GBMENU.EXE
GBPOLL.EXE
GENERICS.EXE
GMT.EXE
GUARD.EXE
GUARDDOG.EXE
HACKTRACERSETUP.EXE
HBINST.EXE
HBSRV.EXE
HOTACTIO.EXE
HOTPATCH.EXE
II. Virus clásico
a. Virus de archivos ejecutables y de arranque
Virus.Win32.Gpcode.ai
Otras versiones: .ad, .ag, .ak
Detección agregada 16 jul 2007 00:10 GMT
Descripción agregada 16 jul 2007
Comportamiento Virus
Detalles técnicos
Daños
Instrucciones de eliminación
Detalles técnicos
Programa nocivo que cifra los ficheros del usuario en el ordenador infectado. Es un programa para Windows (fichero PE-EXE). Está empaquetado con UPX. Su tamaño es de 58.368 bytes. Las variantes conocidas tenían el nombre ―ntos.exe‖.
Los ficheros ejecutables de las variantes conocidas tenían el nombre ―ntos.exe‖.
Daños
Después de iniciarse, el virus genera una llave única para cifrar los ficheros y los guarda en la siguiente llave del registro del sistema:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion]
"WinCode" = "<llave de cifrado>"
También se inscribe a sí mismo en la llave de autoinicio del registro del sistema:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon]
"UserInit" = "%System%\userinit.exe, %System%\ntos.exe"
El valor de la llave se coteja con el contenido de los procesos del sistema dónde se ha infiltrado el código nocivo (por ejemplo, Winlogon.exe). Si el valor de la llave cambia (p.e., se la elimina el valor c:\windows\system32\ntos.exe), se la reestablece automáticamente desde algún proceso del sistema.
Además, el código infiltrado protege el fichero ubicado en el directorio del sistema (c:\windows\system32\ntos.exe) contra cualquier modificación, cambio de nombre o copia.
Después, si la fecha en curso se encuentra en el diapasón entre el 10 y 15 de julio de 2007 (inclusive), el programa nocivo empieza a cifrar todos los ficheros del usuario que tengan las siguientes extensiones:
.12m
.3ds
.3dx
.4ge
.4gl
.7z
.a
.a86
.abc
.acd
.ace
.act
.ada
.adi
.aex
.af3
.afd
.ag4
.ai
.aif
.aifc
.aiff
.ain
.aio
.ais
.akf
.alv
.amp
.ans
.ap
.apa
.apo
.app
.arc
.arh
.arj
.arx
.asc
.asm
.ask
.au
.bak
.bas
.bb
.bcb
.bcp
.bdb
.bh
.bib
.bpr
.bsa
.btr
.bup
.bwb
.bz
.bz2
.c
.c86
.cac
.cbl
.cc
.cdb
.cdr
.cgi
.cmd
.cnt
.cob
.col
.cpp
.cpt
.crp
.cru
.csc
.css
.csv
.ctx
.cvs
.cwb
.cwk
.cxe
.cxx
.cyp
.d
.db
.db0
.db1
.db2
.db3
.db4
.dba
.dbb
.dbc
.dbd
.dbe
.dbf
.dbk
.dbm
.dbo
.dbq
.dbt
.dbx
.dfm
.djvu
.dic
.dif
.dm
.dmd
.doc
.dok
.dot
.dox
.dsc
.dwg
.dxf
.dxr
.eps
.exp
.f
.fas
.fax
.fdb
.fla
.flb
.frm
.fm
.fox
.frm
.frt
.frx
.fsl
.gtd
.gif
.gz
.gzip
.h
.ha
.hh
.hjt
.hog
.hpp
.htm
.html
.htx
.ice
.icf
.inc
.ish
.iso
.jar
.jad
.java
.jpg
.jpeg
.js
.jsp
.key
.kwm
.lst
.lwp
.lzh
.lzs
.lzw
.ma
.mak
.man
.maq
.mar
.mbx
.mdb
.mdf
.mid
.mo
.myd
.obj
.old
.p12
.pak
.pas
.pem
.pfx
.php
.php3
.php4
.pgp
.pkr
.pl
.pm3
.pm4
.pm5
.pm6
.png
.ppt
.pps
.prf
.prx
.ps
.psd
.pst
.pw
.pwa
.pwl
.pwm
.pwp
.pxl
.py
.rar
.res
.rle
.rmr
.rnd
.rtf
.safe
.sar
.skr
.sln
.swf
.sql
.tar
.tbb
.tex
.tga
.tgz
.tif
.tiff
.txt
.vb
.vp
.wps
.xcr
.xls
.xml
.zip
En cada catálogo donde se hayan cifrado ficheros, el virus pone el fichero read_me.txt, que tiene el siguiente contenido:
Hello, your files are encrypted with RSA-4096 algorithm
(http://en.wikipedia.org/wiki/RSA).
You will need at least few years to decrypt these files without our software. All
your private information for last 3 months were collected and sent to us.
To decrypt your files you need to buy our software. The price is $300.
To buy our software please contact us at: [email protected] and provide us your
personal code -XXXXX. After successful purchase we will send your decrypting
tool, and your private information will be deleted from our system.
If you will not contact us until 07/15/2007 your private information will be
shared and you will lost all your data.
Glamorous team
El virus crea en el directorio del sistema de Windows un directorio escondido, ―wsnpoem‖, que contiene dos ficheros vacíos: vide.dll y audio.dll.
Instrucciones de eliminación
Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, siga las siguientes instrucciones para eliminarlo:
1. Para desactivar de forma manual el programa nocivo, se puede cambiar el valor de la llave del registro agregando cualquier carácter al final del nombre del módulo nocivo. Por ejemplo:
2. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"UserInit" = "%System%\userinit.exe, %System%\ntos.exe_"
3. Reiniciar el ordenador.
4. Eliminar manualmente los siguientes ficheros del catálogo del sistema de Windows:
ntos.exe
Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
Virus.Win32.Delf.k
Detección agregada 10 ene 2006 21:30 GMT
Actualización lanzada 10 ene 2006 22:41 GMT
Descripción agregada 30 jun 2006
Comportamiento Virus
Detalles técnicos
Daños
Instrucciones de eliminación
Detalles técnicos
Este virus reemplaza archivos .EXE con su propio código.
El virus en sí es un archivo PE EXE de Windows y su tamaño es de 18944 bytes. Está escrito en Delphi.
Daños
Una vez ejecutado, el virus busca en el disco duro archivos con extensión .EXE. Cuando el virus encuentra tal archivo, lo copia a un archivo llamado:
<original file name>.exe.exe
La copia del archivo se coloca en la misma carpeta que el archivo original. Después, el virus borra el contenido del archivo original y lo reemplaza por su prop o código.
Cuando un archivo infectado se ejecuta, el virus lanza la copia del archivo original y luego se detiene.
El virus exhibe el siguiente mensaje el 14 de mayo.
Entonces el virus hace que el equipo de la víctima colapse.
Instrucciones de eliminación
1. Elimine todas las copias del virus y cambie los nombres de los archivos llamados <nombre original del archivo>.exe.exe por <nombre original del archivo>.exe.
2. Actualice la base de datos de su antivirus y lleve a cabo un análisis completo a su ordenador (descargue una versión de prueba de Kaspersky Anti-Virus).
Virus.VBS.Jertva
Detección agregada 02 feb 2005
Descripción agregada 16 jul 2007
Comportamiento Virus
Detalles técnicos
Daños
Instrucciones de eliminación
Detalles técnicos
Virus que infecta los ficheros con extensiones ―.htm‖, ―.html‖ y ―.asp‖. Su tamaño es de 1.531 bytes. Está escrito en Visual Basic Script (VBS).
Daños
Al iniciarse, el programa comprueba si ha sido lanzada desde un recurso local. Si es así, entonces el virus revisa su directorio de trabajo en busca de ficheros con las extensiones:
*.htm
*.html
*.asp
Al principio de todos los ficheros encontrados escribe el siguiente renglón:
<!-- HTML.MB.b -->
Después, el virus añade su cuerpo al fichero.
Instrucciones de eliminación
Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, siga las siguientes instrucciones para eliminarlo:
1. Eliminar el archivo original del troyano (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
2. Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
b. Virus de macro
No se encontró
c. Virus de script
Worm.VBS.Netlog.l
Otras versiones: .k
Alias
Worm.VBS.Netlog.l (Kaspersky Lab) También conocido como: VBS.Netlog.l (Kaspersky Lab),
VBS/Netlog.worm (NAI), VBS.Cable (NAV), VBS/Cable-A (Sophos), VBS/Netlog.L* (RAV), VBS_CABLE.A (PCCIL), VBS/Netlog.L (H+BEDV), VBS/Netlog.B (FPROT), VBS:Malware (AVAST), VBS/Netlog (AVG), VBS.Netlog.I (BitDef7), VBS/Netlog.L (Nod32)
Descripción agregada 26 jul 2007
Comportamiento VBSViruses
Detalles técnicos
Daños
Instrucciones de eliminación
Detalles técnicos
El tamaño de este gusano es de 2.282 bytes. Está escrito en Visual Basic Script (VBS). Se propaga copiándose a sí mismo en los ordenadores de la red local.
Daños
Al iniciarse el gusano escoge en la red una dirección IP al azar cuyo primer octeto sea igual a 65 (por ejemplo, 65.24.52.0) y trata de conectarse a todos los ordenadores de esta red, probando cambiar el último octeto de la dirección IP desde 1 hasta 255.
En caso de conectarse, en los ordenadores infectados se agrega un nuevo disco de red con el nombre de X.
Después, el gusano copia los ficheros:
c:\windows\startm~1\programs\startup\_chubby.vbs
c:\sys32.exe
al directorio de autoinicio del disco de red:
x:\windows\startm~1\programs\startup
El fichero c:\sys32.exe también se copia al directorio raíz del disco de red X. Después de lo cual el disco se desconecta.
Instrucciones de eliminación
Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, siga las siguientes instrucciones para eliminarlo:
1. Terminar el proceso del troyano con el Administrador de Tareas.
2. Eliminar el archivo original del gusano (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
3. Encontrar y eliminar los siguientes ficheros de todos los directorios:
4. _chubby.vbs
sys32.exe
5. Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
Worm.VBS.Netlog.k
Otras versiones: .l
Alias
Worm.VBS.Netlog.k (Kaspersky Lab) También conocido como: VBS.Netlog.k (Kaspersky Lab),
VBS/Netlog.worm (NAI), VBS.Network (NAV), VBS/Netlog-B (Sophos), VBS_NETLOGI.A (PCCIL), VBS/Netlog #1 (H+BEDV), VBS/Netlog.K (FPROT), VBS:Netlog (AVAST), VBS/Netlog (AVG), VBS.Netlog.D (BitDef7), VBS.Netlog.B (Clamav), VBS/NetLog.E (Panda)
Descripción agregada 26 jul 2007
Comportamiento VBSViruses
Detalles técnicos
Daños
Instrucciones de eliminación
Detalles técnicos
El tamaño de este gusano es de 2.282 bytes. Está escrito en Visual Basic Script (VBS). Se propaga copiándose a sí mismo en los ordenadores de la red local.
Daños
Al iniciarse el gusano escoge en la red una dirección IP al azar cuyo primer octeto sea igual a 24 (por ejemplo, 24.91.52.0) y trata de conectarse a todos los ordenadores de esta red, probando cambiar el último octeto de la dirección IP desde 1 hasta 255.
En caso de conectarse, en los ordenadores infectados se agrega un nuevo disco de red con el nombre de X.
Después, el gusano copia los ficheros:
c:\windows\startm~1\programs\startup\tovbs.vbs
c:\windows\startm~1\programs\startup\tovbs.exe
al directorio de autoinicio del disco de red:
z:\windows\startm~1\programs\startup
Después de lo cual el disco se desconecta.
Durante sus actividades en el ordenador del usuario, el gusano crea un fichero donde escribe la información sobre el trabajo efectuado:
c:\my.log
El peligro que representa este gusano es muy bajo, porque su propagación es muy lenta. La búsqueda del ordenador-víctima toma bastante tiempo, aparte de que la mayor parte de los equipos, por lo general, no se conectan a la red de la forma que el gusano necesita.
Instrucciones de eliminación
Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, siga las siguientes instrucciones para eliminarlo:
1. Terminar el proceso del troyano con el Administrador de Tareas.
2. Eliminar el archivo original del gusano (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
3. Encontrar y eliminar los siguientes ficheros de todos los directorios:
4. tovbs.vbs
tovbs.exe
5. Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
Virus.BAT.Bomgen
Alias
Virus.BAT.Bomgen (Kaspersky Lab) También conocido como: BAT.Bomgen (Kaspersky Lab),
Bat/Pilth (NAI), BAT.BWG@mm (NAV), Worm:BAT/Pfilth* (RAV), BAT_FILTH.A (PCCIL), BAT/Pfilt.A (FPROT), BV:Malware (AVAST), VBS.Pfilth.A@mm (BitDef7), Bat.Bomgen (Clamav), BAT/Pfilt (Panda), BAT/Pfilth.A (Nod32)
Detección agregada 01 nov 2005 11:43 GMT
Actualización lanzada 01 nov 2005 13:36 GMT
Descripción agregada 12 jul 2007
Comportamiento BATViruses
Detalles técnicos
Daños
Instrucciones de eliminación
Detalles técnicos
El programa es un archivo de paquetes (archivo BAT).
Daños
%Windir%\setupset.bat
%Windir%\helpinit.vbs
%Windir%\regsys.js
%Windir%\SYSZAAcc.bat
%Windir%\WinEffHj.vbs
%Windir%\4ieny5iC
%Windir%\2HVjzBPf
El virus también crea los siguientes ficheros:
%Temp%\wVbcg8IS.wj — 64 bytes in size;
%Temp%\FqvC2WD.vbs — 436 bytes in size;
%Windir%\jKmmOCFG.js — 3, 322 bytes in size.
Instrucciones de eliminación
Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, siga las siguientes instrucciones para eliminarlo:
1. Eliminar el archivo original del troyano (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
2. %Windir%\setupset.bat
3. %Windir%\helpinit.vbs
4. %Windir%\regsys.js
5. %Windir%\SYSZAAcc.bat
6. %Windir%\WinEffHj.vbs
7. %Temp%\wVbcg8IS.wj
8. %Temp%\FqvC2WD.vbs
%Windir%\jKmmOCFG.js
%Windir%\4ieny5iC
%Windir%\2HVjzBPf
9. Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
III. Programas Troyanos (caballos de Troya)
Puertas traseras (backdoors)
Backdoor.Win32.Breplibot.b
Detección agregada 10 nov 2005 10:08 GMT
Actualización lanzada 10 nov 2005 10:42 GMT
Descripción agregada 07 jul 2006
CME-ID CME-589
Comportamiento Backdoor
Detalles técnicos
Este programa puede ser usado para administrar a distancia el ordenador de la víctima usando los canales IRC.
El programa en sí mismo es un archivo PE EXE de 10240 bytes de Windows de un archivo 10240 comprimido usando UPX. Al ser descomprimido tiene un tamaño aproximado de 312 KB.
El gusano backdoor fue distribuido usando el correo masivo como tecnología.
Instalación
Una vez ejecutado, el backdoor se copia a sí mismo en el directorio del sistema de Windows como "$sys$drv.exe":
%System%\$sys$drv.exe
Esto posibilita que el programa malicioso sea ocultado usando la tecnología rootkit implementada por Sony. Sin embargo, el programa será ocultado solo si la protección DRM implementada por Sony en ciertos CD de audio está funcionando en el equipo de la victima.
Una vez ejecutado, el backdoor crea en el sistema el siguiente registro ejecutable :
[HKCU\WkbpsevaXImgvkwkbpXSmj`kswXGqvvajpRavwmkjXVqj]
"$sys$drv"="$sys$drv.exe"
También crea los siguientes identificadores únicos para señalar su presencia en el sistema.
"SonyEnabled"
"#$$sys$drv>.exe "
Después de hacer todo esto, el archivo ejecutable original se elimina.
Carga útil
El backdoor se conecta con los canales del IRC enumerados abajo para esperar órdenes:
152.7.24.186
24.210.44.45
35.10.203.93
67.171.67.190
68.101.14.76
Esto proporciona al hacker acceso completo al ordenador de la víctima, acceso a la información guardada en el mismo y permite descargar, ejecutar y eliminar archivos a distancia.
El programa es también capaz de evadir la detección del cortafuego (firewall) de Windows. Se agrega a sí mismo a la lista de programas permitidos, de modo que sus acciones no sean bloqueadas por el cortafuego (firewall).
Trojan-SMS.J2ME.Smarm.c
Detección agregada 01 feb 2008 13:31 GMT
Descripción agregada 08 feb 2010
Comportamiento Trojan
Detalles técnicos
Daños
Instrucciones de eliminación
Detalles técnicos
Este troyano infecta los teléfonos móviles de todas las marcas que tengan Java (J2ME). Intenta enviar mensajes de texto SMS desde los aparatos infectados a números de pago sin el conocimiento ni consentimiento del usuario.
El programa es una aplicación Java comprimida con JAR. El nombre del paquete comprimido puede variar. Tiene un tamaño de 1.649 a 270 bytes.
El comprimido contiene los siguientes archivos:
MANIFEST.MF
es un archivo de servicio que contiene información sobre la aplicación, incluyendo un prefijo para el SMS y los números de pago a los que se enviarán los SMS. Este archivo tiene un tamaño de 318-351 bytes.
Ico.png
es el icono de la aplicación (95-4.629 bytes de tamaño);
go.class
es un archivo malicioso que intenta enviar mensajes SMS (2.217 bytes de tamaño);
.Timestamp
(9 bytes de tamaño).
Daños
El troyano se propaga en sitios WAP camuflado como varios programas supuestamente útiles, como por ejemplo, un antivirus o un programa para abonar dinero a una cuenta telefónica gratuitamente. La aplicación se instala en el teléfono con varios nombres. Cuando se ejecuta, el programa malicioso procede a enviar un mensaje SMS con un texto determinado al número 3649. El SMS cuesta 10$ (unos 270 RUR). El programa no realiza ninguna otra actividad maliciosa.
Instrucciones de eliminación
1. Si el programa se instaló en un teléfono móvil regular, se lo puede eliminar usando herramientas estándar.
2. Si el programa se instaló en un smartphone, el usuario puede borrarlo usando herramientas estándar o Kaspersky Mobile Security con sus bases de datos antimalware actualizadas.
Trojan.JS.ExitW.b
Otras versiones: .a
Alias
Trojan.JS.ExitW.b (Kaspersky Lab) También conocido como:
JS/Wipe (NAI), JS.HTADropper (NAV), Troj/ObjectID-
A (Sophos), JS/RunScript.dr.gen* (RAV), JS_EXITW.A.DR (PCCIL), JSc/ExitW.B1 (H+BEDV), VBS/WSRunner.E (FPROT), VBS:Malware (AVAST), JS.Trojan.ExitW.B (BitDef7), JScr.ExitW.B1 (Clamav), JS/Trojan.ExitW.B (Panda), JS/ExitW.B (Nod32)
Descripción agregada 25 abr 2007
Comportamiento Trojan
Detalles técnicos
Daños
Instrucciones de eliminación
Detalles técnicos
Programa troyano. Es una secuencia de instrucciones en JavaScript. Está contenido en páginas WEB. Su tamaño es de 1.476 bytes.
Daños
El troyano, utilizando el objeto "ScriptletTypeLib" crea un archivo que se inicia junto con Windows:
%WinDir%\Start Menu\Programs\StartUp\winmem.hta
Este archivo contiene una instrucción que apaga Windows.
Instrucciones de eliminación
Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, sigua las siguientes instrucciones para eliminarlo:
1. Eliminar el archivo original del troyano (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
2. Eliminar el archivo:
%WinDir%\Start Menu\Programs\StartUp\winmem.hta
3. Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
Trojan-PSW.VBS.Half
Alias
Trojan-PSW.VBS.Half (Kaspersky Lab) También conocido como: Trojan.PSW.VBS.Half (Kaspersky Lab),
VBS/PWStealer (NAI), PWLsteal.Trojan (NAV), VBS/Half* (RAV), VBS_HALF.A (PCCIL), VBS/PWStealer.A (FPROT), VBS:Malware (AVAST), VBS.Trojan.PWstealer.C (BitDef7), Trojan Horse (Panda), VBS/PSW.Half (Nod32)
Descripción agregada 28 nov 2007
Comportamiento PSW-Trojan
Detalles técnicos
Daños
Instrucciones de eliminación
Detalles técnicos
Este troyano es un virus VBScript que roba contraseñas a los usuarios. .El tamaño del archivo es de 977 bytes. El troyano puede encontrarse en las páginas web y roba contraseñas de los sistemas Win9x .
Daños
Cuando se abre una página que contiene el código malicioso, el troyano analiza los directorios en la unidad de disco C:\ en busca de los archivos con extensión *.pwl. (Estos archivos son utilizados en los sistemas Win9x para almacenar las contraseñas de los usuarios).
Luego utiliza objetos ActiveXObject ―MSMAPI.MAPISession‖ para enviar las contraseñas al usuario remoto malicioso a la dirección onehalf***[email protected]. El ―Tema‖ tiene el siguiente mensaje:
"this is test for lame"
Y contiene el siguiente texto:
"hello my friend(c)onehalf***4:".
Instrucciones de eliminación
1. Elimine la pagina HTML que contiene el código malicioso.
2. Actualice la base de datos de su antivirus y lleve a cabo un análisis completo de su ordenador (descargue una versión de prueba de Kaspersky Anti-Virus)
Trojan-Clicker.Win32.VB.b
Otras versiones: .bg, .bw
Alias
Trojan-Clicker.Win32.VB.b (Kaspersky Lab) También conocido como: TrojanClicker.Win32.VB.b (Kaspersky
Lab), Trojan Horse (NAV), Troj/Tclick-B (Sophos), TrojanClicker:Win32/VB.B (RAV), TROJ_CLICKERVB.B (PCCIL), TR/Clicker.VB.B (H+BEDV), Trojan.Clicker.VB.B (BitDef7), Trojan Horse (Panda), Win32/TrojanClicker.VB.B (Nod32)
Descripción agregada 03 ago 2007
Comportamiento TrojanClicker
Detalles técnicos
Daños
Instrucciones de eliminación
Detalles técnicos
Programa troyano creado para abrir páginas en la ventana de Internet Explorer sin que el usuario se dé cuenta.
El programa es una aplicación Windows (fichero PE EXE). Su tamaño es de 29.184 bytes. Está escrito en Visual Basic.
Instalación
Al ejecutarse, el troyano copia su cuerpo al siguiente directorio bajo el nombre "EXEC.exe‖:
%System%\VMM32\AUTOEXEC\EXEC.exe
Con el objetivo de iniciarse automáticamente cada vez que se inicie Windows, el troyano agrega un enlace a este fichero ejecutable en la llave de autoinicio del registro del sistema:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"AUTOEXEC" = "%System%\VMM32\AUTOEXEC\EXEC.exe hidden"
Daños
El troyano envía una solicitud al sitio:
http://www.angelfire.com/geek/bestjavascripts/v/***.rld
En esta página hay una dirección de las páginas que el troyano abrirá en la ventanas emergentes de Internet Explorer.
En el momento en que escribíamos esta descripción, en la página se encontraban enlaces a los siguientes sitios:
http://bestjavascripts.xug.net/****
http://www.skins4msn.web1000.com/****
Instrucciones de eliminación
Si su ordenador no contaba con la protecci³Rn de un antivirus y se contagi³R con la nueva versi³Rn de este programa nocivo, siga las siguientes instrucciones para eliminarlo:
Eliminar el archivo original del troyano (su ubicaci³Rn en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
Eliminar los ficheros creados por el troyano:
%System%\VMM32\AUTOEXEC\EXEC.exe
Eliminar el siguiente parametro de la llave del registro:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"AUTOEXEC" = "%System%\VMM32\AUTOEXEC\EXEC.exe hidden"
Hacer un an³?lisis completo del ordenador usando Kaspersky Anti-Virus con las ³?ltimas actualizaciones de sus bases antivirus (Descargar versi³Rn de prueba).
Trojan-Downloader.JS.Agent.ex
Detección agregada 27 abr 2007 15:55 GMT
Actualización lanzada 27 abr 2007 17:56 GMT
Descripción agregada 12 jul 2007
Comportamiento TrojanDownloader
Detalles técnicos
Daños
Instrucciones de eliminación
Detalles técnicos
Programa troyano que, sin que el usuario se dé cuenta, descarga desde Internet otros programas y los ejecuta. El tamaño de los componentes del troyano puede ser de 7 a 19 kilobytes. Está escrito en JavaScript
Daños
Al ejecutarse, el troyano descarga un archivo de la siguiente dirección:
http://www.tankersite.com/1/*****/zerr.exe
En el momento de la creación de esta descripción, el enlace a la dirección mencionada no funcionaba.
El fichero descargado se guarda como:
C:\1.exe
y se lo inicia.
Instrucciones de eliminación
Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, siga las siguientes instrucciones para eliminarlo:
1. Eliminar el archivo original del troyano (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
2. Eliminar el archivo:
C:\1.exe
3. Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
Trojan-Dropper.MSWord.Lafool.v
Detección agregada 31 oct 2006 07:22 GMT
Descripción agregada 02 nov 2006
Comportamiento TrojanDropper
Detalles técnicos
Daños
Instrucciones de eliminación
Detalles técnicos
Programa troyano, creado para instalar de forma disimulada otros programas troyanos en el sistema. Es un documento Microsoft Word que contiene un macros. El tamaño del documento Microsoft Word que hemos analizado es de 205.824 bytes.
Durante cada ejecución de Microsoft Word (AutoExec) y al abrir el documento en formato Microsoft Word (AutoOpen y Document_Open) se lanza la función del módulo principal del troyano.
Daños
El troyano descifra las líneas del texto de la función, para después guardar el resultado en un fichero en la raíz del disco C: bajo el nombre de "LS060E5.EXE":
C:\LS060E5.eXE (tamaño 27 648 bytes)
Kaspersky Anti-Virus detecta este archivo como Trojan-PSW.Win32.LdPinch.bbg.
Después se ejecuta el archivo.
Instrucciones de eliminación
1. Comprobar la presencia en el disco C: del fichero "LS060E5.eXE" y eliminarlo:
C:\LS060E5.eXE
2. Cerrar todas los programas de Microsoft Office.
3. Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (>descargar versión de prueba).
Trojan-Proxy.Win32.Delf.ab
Detección agregada 03 ago 2005 21:35 GMT
Actualización lanzada 03 ago 2005 23:06 GMT
Descripción agregada 14 jun 2007
Comportamiento TrojanProxy
Detalles técnicos
Daños
Instrucciones de eliminación
Detalles técnicos
Programa troyano que ejecuta un servidor proxy en el ordenador del usuario. Es un programa para Windows (fichero PE-EXE). Su tamaño es de 239.616 bytes.
Instalación
Después de iniciarse, el programa copia su fichero ejecutable al catálogo raíz de Windows:
%WinDir%\services.exe
Con el objetivo de iniciarse automáticamente cada vez que se inicie Windows, el troyano agrega un enlace a su fichero ejecutable en la llave de autoinicio del registro del sistema:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell = "Explorer.exe %WinDir%\services.exe"
Daños
El troyano ejecuta en el ordenador del usuario un servidor proxy usando un puerto TCP elegido al azar.
Después, se registra en el sitio del delincuente y le comunica el número del puerto abierto. A continuación, el
ordenador del usuario puede ser usado por los delincuentes para disimular su trabajo en la red.
Instrucciones de eliminación
Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, siga las siguientes instrucciones para eliminarlo:
1. Terminar el proceso del troyano con el Administrador de Tareas.
2. Eliminar el archivo original del troyano (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
3. Modificar el valor del parámetro del registro con el siguiente valor:
4. [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell = "Explorer.exe"
5. Eliminar el archivo:
%WinDir%\services.exe
6. Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
Trojan-Spy.HTML.Bankfraud.qe
Detección agregada 21 sep 2006 10:19 GMT
Actualización lanzada 21 sep 2006 13:46 GMT
Descripción agregada 06 oct 2006
Comportamiento TrojanSpy
Detalles técnicos
Programa troyano que utiliza la tecnología "spoofing". Realizada en forma de página HTML falsificada. Roba la información confidencial de los clientes del Bank of America.
Se envía por correo electrónico aparentando ser un mensaje importante:
El mensaje contiene un enlace que aprovecha la vulnerabilidad Frame Spoof en Internet Explorer.
La vulnerabilidad Frame Spoof (MS04-004) existen en las versiones 5.x y 6.x de Microsoft Internet Explorer. La compañía Microsoft ha publicado un documento especial, dónde se da una definición de la vulnerabilidad y recomendaciones para reconocer este tipo de enlaces falsificados.
Al llegar al sitio web falsificado, los usuarios escriben los datos de sus cuentas, que luego son enviados a los delincuentes, que pueden obtener acceso ilimitado a la administración de la cuenta del usuario.
IV. Otro programas maliciosos
DoS.Linux.Front
Alias
DoS.Linux.Front (Kaspersky Lab) También conocido como:
Perl/Front (NAI), Perl.Frontp (NAV), Troj/Front (Sophos), PERL/Front* (RAV), PERL_LFRONT.A (PCCIL), Unix/Front.A (FPROT), UNIX:Malware (AVAST), PERL.Front.A (BitDef7), DoS Program (Panda), Linux/DoS.Front.A (Nod32)
Descripción agregada 15 may 2007
Comportamiento DoS
Detalles técnicos
Daños
Instrucciones de eliminación
Detalles técnicos
Programa nocivo destinado a realizar ataques DoS (Denial of Service) contra un servidor remoto. Es una secuencia de instrucciones nocivas escrita en Perl. Su tamaño es de 988 bytes.
Daños
Este programa realiza ataques DoS contra un ordenador remoto, cuya dirección la indica el delincuente como un parámetro de entrada al iniciar el utilitario.
Como resultado del funcionamiento del programa, en el servidor atacado pueden surgir problemas con los servicios de red.
Instrucciones de eliminación
Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, siga las siguientes instrucciones para eliminarlo:
1. Eliminar el archivo original del programa nocivo (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
2. Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
DoS.Perl.Httux
Alias
DoS.Perl.Httux (Kaspersky Lab) También conocido como:
Perl/Exploit.gen (NAI), Hacktool.DoS (NAV), Troj/ByteFus-A (Sophos), DoS:PERL/Httux.A* (RAV), Unix/Tuxhttpd@expl (FPROT), UNIX:Malware (AVAST), DoS.Perl.Httux (Clamav), DoS Program (Panda), Perl/DoS.Httux (Nod32)
Descripción agregada 24 abr 2007
Comportamiento DoS
Detalles técnicos
Daños
Instrucciones de eliminación
Detalles técnicos
Programa nocivo destinado a realizar ataques DoS (Denial of Service) contra un servidor remoto. Es una secuencia de instrucciones nocivas escrita en Perl. Su tamaño es de 928 bytes.
Daños
Aprovechando la vulnerabilidad de rebalsamiento del buffer durante el procesamiento de una solicitud incorrecta al servidor web TUX, el programa nocivo ejecuta ataques DoS contra un ordenador remoto. La dirección del ordenador a ser atacado la indica el delincuente al iniciar el programa.
Como resultado del funcionamiento del programa, en el servidor atacado pueden surgir problemas con los servicios de red.
Instrucciones de eliminación
Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, siga las siguientes instrucciones para eliminarlo:
1. Eliminar el archivo original del programa nocivo (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
2. Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
Exploit.PHP.Inject.f
Detección agregada 15 jun 2007 14:14 GMT
Actualización lanzada 15 jun 2007 15:36 GMT
Descripción agregada 11 jul 2007
Comportamiento Exploit
Detalles técnicos
Daños
Instrucciones de eliminación
Detalles técnicos
Exploit destinado a robar información confidencial de las bases de datos de las aplicaciones Web. Es una secuencia de instrucciones PHP (fichero PHP). Su tamaño es de 1610 bytes. No está empaquetado de ninguna forma. Está escrito en PHP.
Daños
El programa nocivo utiliza una vulnerabilidad que permite implementar una solicitud SQL como parámetro de aplicación Web.
Esta modificación de la secuencia de instrucciones efectúa la solicitud en la base de datos del sitio especializado en transferencias de dinero:
http://www.onlinefx.co.uk
El objetivo del delincuente es recibir información sobre las transacciones de los clientes. Los datos obtenidos se guardan en los siguientes ficheros, dependiendo de su modificación:
trans1.txt
orders.txt
Instrucciones de eliminación
Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, siga las siguientes instrucciones para eliminarlo:
1. Eliminar el archivo original del programa nocivo (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
2. Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
Email-Flooder.Win32.FriendGreetings
Alias
Email-Flooder.Win32.FriendGreetings (Kaspersky Lab) También conocido como:
Flooder.MailSpam.FriendGreetings (Kaspersky Lab), W32.Friendgreet.worm (NAV), I-Worm/Siyam (AVG)
Descripción agregada 10 jul 2006
Comportamiento Flooder
Detalles técnicos
Advert.FriendGreetings es una tarjeta postal de correo electrónico que una vez instalada, a diferencia de
otros programas similares, envía correos-e a todas las direcciones encontradas en la libreta de direcciones de Microsoft del ordenador de la víctima. Esta característica desagradable hizo que algunas compañías antivirus clasifiquen este programa como "gusano".
Si un usuario hace clic en el vínculo que encontró en el correo electrónico el proceso de instalación comienza.
Durante la instalación, el programa exhibe un certificado de autenticidad. Si el usuario acepta la firma electrónica, tiene la opción de mirar el acuerdo de licencia (EULA). Si un usuario cualquiera discrepa con el acuerdo de licencia o no confía en el certificado, la instalación del programa termina.
Certificado de autenticidad: verifying "safe content"!
Cuando un usuario acepta el acuerdo de licencia (haciendo clic en el recuadro ―Yes‖) el programa está instalado en su ordenador y ―Advert.FriendGreetings" procede a enviar mensajes a todas las direcciones que encuentra en la libreta de direcciones de Microsoft Outlook.
Acuerdo de
licencia
Los mensajes de correo muestran lo siguiente:
Subject: %recipient% you have an E-Card from %sender%.
Message:
Greetings!
%sender% has sent you an E-Card -- a virtual postcard from FriendGreetings.com. You can pickup your E-Card at the FriendGreetings.com by clicking on the link below.
http:/ /www.friendgreetings.com/pickup/pickup.aspx?
Message: ------------------------------------------------------------ %recipient%M I sent you a greeting card. Please pick it up. %sender% ------------------------------------------------------------
When this software installs it adds the following registry keys:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"PMedia"="C:\Program Files\Common Files\Media\winsrvc.exe"
Nuker.Win32.Nonuker
Alias
Nuker.Win32.Nonuker (Kaspersky Lab) También conocido como: Trojan
Horse (NAV), Trojan.Retro (DrWeb), Troj/WinNuke-C (Sophos), Trojan:Win32/Nuker.E (RAV), TROJ_NUKER.E (PCCIL), Win95:Nuke-C (AVAST), Trojan.Win32.Nuker.E (BitDef7), Nuker.Nonuke (Clamav), Trj/W32.Nuker.C (Panda), Win32/Nuker.e (Nod32)
Descripción agregada 24 oct 2006
Comportamiento Nuker
Detalles técnicos
Daños
Instrucciones de eliminación
Detalles técnicos
Es un programa que "escucha" el puerto 139. Es una aplicación para Windows (Archivo PE EXE). Tiene un tamaño de 238.592 bytes. Está escrito en Borland Delphi.
Daños
El programa se usa para la depuración o investigación de los programas de red que funcionan en el puerto 139.
Tiene la siguiente interfaz gráfica:
El programa tiene tres elementos gráficos del tipo CommandButton:
"Activate" – inicia la "audición del puerto 139
"About" – visualiza el siguiente mensaje:
- "Deactivate" – finaliza la "audición del puerto 139. El programa pasa al régimen de espera.
Instrucciones de eliminación
1. Eliminar el archivo original del troyano (su ubicación en el ordenador infectado depende del modo en que el troyano haya penetrado en el equipo).
2. 2. Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
V. Non-malware
Programas afines a los programas maliciosos
Esta categoría es difícil de definir, ya que incluye cualquier programa legal que los hackers pueden usar para penetrar a un ordenador. Es imposible predecir qué programas entrarán en esta categoría, ya que todo depende del ingenio que demuestre la comunidad informática clandestina. Una vez que un hacker identifica un programa que puede serle útil, puede cargarlo sin el conocimiento o consentimiento del usuario a su equipo y tomar el control del mismo, sin ser detectado por los antivirus u otro software de seguridad. Si se usa hábilmente un programa legal para fines ilegales, puede ser en extremo difícil detectarlo.
Marcadores (dialers)
Descargadores (downloaders)
Servidores FTP
Servidores proxy
Servidores Telnet
Servidores Web
Clientes de IRC
Herramientas de recuperación de contraseñas (PSWTool)
Herramientas de administración remota (RemoteAdmin)
Herramientas
Crackers
Bromas pesadas y mensajes falsos
Marcadores (dialers)
Estos programas no causan daño al equipo en que son instalados. Sin embargo, si no son detectados y eliminados, pueden causar serias consecuencias financieras. Los propietarios de sitios web usan estos programas para hacer que los equipos infectados efectúen llamadas a sitios (teléfonos) de pago. Con gran
frecuencia son sitios pornográficos. Aunque no se causan daños al ordenador, una gran factura de teléfono hace que estos programas no sean del agrado de los propietarios de ordenadores y redes.
Los marcadores son de dos tipos: Marcadores troyanos y marcadores maliciosos. Los marcadores troyanos se instalan sin el conocimiento ni el consentimiento del usuario y hacen llamadas a sitios de pago de forma automática. Los marcadores peligrosos, por otra parte, notifican al usuario sobre las llamadas que se están haciendo y su coste. Estos marcadores pueden ser desinstalados usando procedimientos estándard. Se puede clasificar como malicioso a este segundo grupo, ya que la instalación inicial ocurre sin el consentimiento del usuario. Sin embargo, dan al usuario la posibilidad de decidir las acciones a realizar.
Descargadores (downloaders)
Incluso los gestores de descarga (downloaders) pueden ser peligrosos, porque por lo general se programan para funcionar en segundo plano, sin la intervención directa del usuario. Para un hacker es fácil sustituir los enlaces para dirigir al programa hacia recursos infectados, haciendo que los programas maliciosos sean descargados al equipo víctima sin que el usuario se dé cuenta.
Servidores FTP
Son utilidades que se pueden usar para obtener acceso a archivos remotos. Una vez que un hacker las instala en un sistema, hace posible que los usuarios remotos descarguen cualquier archivo del equipo víctima y monitoreen las actividades en el ordenador infectado.
Servidores proxy
Estas utilidades en un principio se diseñaron para proteger las redes internas, separando las direcciones internas de los usuarios externos. No obstante, los hackers las usan para conectarse a Internet de forma anónima. La dirección real del hacker se sustituye por la dirección del servidor proxy.
Servidores Telnet
Estas utilidades se diseñaron para proporcionar acceso remoto a los recursos ubicados en otros equipos. Los hackers las usan para obtener acceso total a los equipos víctimas.
Servidores Web
Los servidores web proporcionan acceso a las páginas web ubicadas en un área determinada del sistema de archivos. Los hackers las usan para obtener acceso irrestricto al sistema de archivos del equipo de la víctima.
Clientes de IRC
Estas utilidades proporcionan acceso a los canales de IRC. Muchos clientes de IRC, en particular mIRC, incorporan potentes lenguajes de script que automatizan al cliente IRC. Esta prestación se puede explotar para escribir troyanos y gusanos de IRC. Mientras instalan un troyano IRC en un equipo víctima, los hackers con frecuencia también instalan un cliente IRC.
Monitor
Son utilidades legales que monitorean las actividades del ordenador y del usuario. En el mercado existen versiones comerciales de este tipo de utilidad. Normalmente, la información de las actividades se guarda en el disco duro o se envía a las direcciones de correo electrónico especificadas. Los programas de monitoreo se
diferencian de los troyanos espías sólo en que éstos no disimulan su presencia en el sistema y es posible desinstalarlos.
Herramientas de recuperación de contraseñas (PSWTool)
Sirven para recuperar contraseñas perdidas u olvidadas. Por lo general, muestran información sobre la contraseña en la pantalla, o la guardan en el disco duro. Cuando se realiza un ataque, esta información es enviada al atacante remoto.
Herramientas de administración remota (RemoteAdmin)
Estas herramientas de administración remota proporcionan a los hackers un control completo sobre el equipo víctima.
Herramientas
Esta categoría incluye otros programas gratuitos o comerciales que con frecuencia se usan con fines maliciosos.
Crackers
Estos programas no son virus ni troyanos, sino herramientas que usan los hackers para "piratear" diferentes tipos de software. Por lo general no representan peligro para los programas instalados y su función se reduce a eliminar la protección contra copia o introducir una clave "pirateada" en los programas.
Bromas pesadas y mensajes falsos (Hoaxes)
Este grupo incluye programas que no causan ningún daño directo a los equipos que infectan. No obstante, muestran advertencias falsas sobre supuestos daños ocurridos o por ocurrir. Pueden ser mensajes advirtiendo a los usuarios de que los discos se han formateado, que se ha encontrado un virus o se han detectado síntomas de infección. Las posibilidades son limitadas sólo por el sentido del humor del autor del virus.