PROGRAMAS MALICIOSOS

PROGRAMAS MALICIOSOS

I. Gusanos de red

a. Gusanos de correo electrónico

1. Email-Worm.JS.CoolNow

Alias

Email-Worm.JS.CoolNow (Kaspersky Lab) También conocido como: I-Worm.CoolNow (Kaspersky Lab),

JS/Exploit-Messenger.gen (NAI), JS.Menger.Worm (NAV), JS/Coolnow-B (Sophos), JS/Coolnow* (RAV), JS_MENGER.GEN (PCCIL), JSc/CoolNow.4 (H+BEDV), JS/Coolnow.A@mm (FPROT), VBS:CoolNow (AVAST), JS/Coolnow.A (AVG), JS.Coolnow.A (BitDef7), JS/Coolnow (Panda), JS/Coolnow.A (Nod32)

Descripción agregada 10 jul 2006

Comportamiento I-Worm

Detalles técnicos

Éste virus es un ―gusano‖ que se propaga por Internet usando MSN Messenger (instant messaging program). El gusano en sí mismo es un JS-script (Java Script) situada en un archivo HTML. Envía los mensajes que contienen una dirección URL hacia una página Web infectada.

Cuando el gusano es ejecutado, obtiene la lista de contactos del MSN Messenger, enviando a todos sus destinatarios el siguiente mensaje:

"URGENT - Go to http://www.rjdesigns.co.uk/cool Now"

Esta dirección apunta hacia un archivo HTML, que contiene el cuerpo del ―gusano‖.

Después de enviar los mensajes infectados por correo electrónico, el gusano utiliza un script ubicado en el mismo sitio para enviar un mensaje de correo-e a: "[email protected]‖. Este mensaje contiene la dirección IP del ordenador infectado, y remite al usuario a la siguiente dirección:

"http://www.rjdesigns.co.uk/cool/go.htm"

Hecho esto, el gusano no tiene ninguna carga útil.

2. Email-Worm.JS.Gigger

Alias

http://www.kaspersky.com/


http://www.viruslist.com/sp/













Email-Worm.JS.Gigger (Kaspersky Lab) También conocido como: I-Worm.Gigger (Kaspersky Lab),

JS/Gigger.a@MM (NAI), JS.Gigger.A@mm (NAV), JS.Gigger (DrWeb), JS/Gigger.A@mm* (RAV), JS_GIGGER.A (PCCIL), VBS:Gigger (AVAST), JS.Gigger.A (BitDef7)



Detalles técnicos

Éste es un gusano peligroso. Se reproduce utilizando Outlook, Outlook Express y mIRC. Este gusano se escribe en JavaScript y en Visual Basic Script (VBS). Contiene secuencias destructivas capaces de formatear el disco duro del usuario después de reiniciarse, puede suprimir todos los archivos en todos los discos disponibles.

Instalación

Mientras el gusano se instala en el sistema, inserta varios archivos:

C:\Bla.hta

C:\B.htm

C:\Windows\Samples\Wsh\Charts.js

C:\Windows\Help\Mmsn_offline.htm

El gusano busca el mensaje ―already infected‖ en el registro, si no existe, el gusano lo crea.

La presencia de la infección se muestra en el siguiente registro:

HKEY_CURRENT_USER\Software\thegrave\badusers\v2.0

El gusano busca todos los discos conectados al network copiándose en ellos en la siguiente ubicación:

Windows\Start Menu\Programs\StartUp\Msoe.hta

Propagación por correo electrónico

El gusano usa Outlook y Outlook Express para extenderse mandando mensajes infectados por correo electrónico.

El mensaje infectado tiene las siguientes características:

Subject: Outlook Express Update

Body: MSNSoftware Co.

Attachment: mmsn_offline.htm










El gusano también envía un mensaje que contiene las direcciones de correo-e de sus destinatarios a una dirección de correo electrónico que parece pertenecer al autor del gusano.

Propagación por IRC

El gusano descubre la carpeta de instalación de la aplicación mIRC de un usuario, creando allí el archivo "script.ini". Después de esto, el gusano se re-envía a sí mismo a cada uno de los usuarios conectados en el mismo canal del IRC que el cliente infectado.

Nombre del archivo enviado a través del mIRC: "mmsn_offline.htm‖

Contenido

El gusano agrega la línea siguiente en el archivo Autoexec.bat:

ECHO y|format c:

El resultado se verá al reiniciarse la unidad C: formateada

En los días 1ro, 5to, 10mo, 15vo o 20vo del mes, el gusano borra todos los archivos de todos los discos disponibles.

3. Email-Worm.JS.Nevezed

Alias

Email-Worm.JS.Nevezed (Kaspersky Lab) También conocido como: I-Worm.Nevezed (Kaspersky Lab),

JS/Nevezed@MM (NAI), JS.Reven@mm (NAV), JS/Gorum-A (Sophos), JS/Reven.gen* (RAV), JS_VEREN.A (PCCIL), JS/Neversaw (H+BEDV), JS/Never.A@mm (FPROT), VBS:Generic-Mail (AVAST), JS/Never (AVG), JS.Nevezed.A@mm (BitDef7), Worm.Nevezed (Clamav), Worm Generic (Panda)



Detalles técnicos

Nevezed es un virus que se propaga por Microsoft Outlook. Este gusano es un archivo JavaScript de 4KB de

tamaño, escrito en Java.
















Instalación

Durante la instalación, el gusano se copia dentro del sistema de Windows en el directorio de arranque (StartUp) con el nombre "StartUp.js" y en el directorio de Windows System con el nombre de "CmdWsh32.js‖. Estos se insertan más tarde en el registro del sistema como un archivo java-class. El gusano también crea una copia de seguridad de sí mismo en el directorio raíz de otros discos.


Para enviar mensajes infectados el gusano utiliza el MS Outlook. Manda correos a todas las direcciones que encontró en la libreta de direcciones de la víctima.

Los mensajes infectados enviados por el gusano tienen varios títulos en Asunto del mensaje. Algunos podrían ser:

Hello name

Hey name

Fwd: Hey You!

Fwd: Check this!

Fwd: Just Look

Fwd: Take a look!

Fwd: Loop at this!

Fwd: Check this out!

Fwd: It's Free!

Fwd: Look!

Fwd: Free Mp3s!

Fwd: Here you go!

Fwd: Have a look!

Look name!

Fwd: Read This!

Texto del cuerpo de mensaje:

Hello!

Check out this great list of mp3 sites that I included in the attachments! I can get any Mp3 file that I want from these sites, and its free! And please don't be greedy! forward this email to all the people that you consider friends, and Let them benefit from these Mp3 sites aswell! Enjoy !

Los mensajes infectados contienen alguno de los siguientes archivos adjuntos:

Free_Mp3s.js

Fwd_Mp3s.js

Mp3_Sites.js

Mp3_Web.js

Mp3_List.js

Mp3_Pages.js

Web_Mp3s.js

Mp3-Sites.js

Fwd-Mp3s.js

Mp3-Fwd.js

Fwd-Sites.js

4. Email-Worm.Win32.Chet.a

Alias

Email-Worm.Win32.Chet.a (Kaspersky Lab) También conocido como: I-Worm.Chet.a (Kaspersky Lab),

W32/Chet.a@MM (NAI), W32.Chet@mm (NAV), Win32.HLLM.Otchet.26628 (DrWeb), W32/Chet-A (Sophos), Win32/Chet.A@mm (RAV), WORM_CHET.A (PCCIL), Worm/Chet (H+BEDV), W32/Chet@mm (FPROT), Win32:Chet (AVAST), I-Worm/Chet.A (AVG), Win32.Chet.A@mm (BitDef7), W32/Chet@MM (Panda), Win32/Chet.A (Nod32)



Detalles técnicos

Éste gusano es un virus que se difunde por Internet mediante un archivo adjunto a los correo electrónicos infectados. Es un archivo de Windows PE EXE de 27Kb de la tamaño, escrito en Microsoft Visual C++.

Los mensajes Infectados tienen los siguientes campos:

From: [email protected]

To: You

Subject: All people!!

Attach: 11september.exe

Body:
















El gusano se activa en caso de que un usuario haga clic en el archivo adjunto. Después el gusano se instala en el sistema y ejecuta su secuencia propagándose.

Instalación

Se copia en el directorio del sistema de Windows con el nombre "synchost1.exe" y coloca ese archivo en el registro del sistema de autoarranque:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run ICQ1 = %SystemDir%\synchost1.exe

El archivo original entonces es eliminado.

Difusión

Para conseguir el correo de la víctima, el gusano se conecta con el MS Outlook y envía mensajes a todas las direcciones encontrada en la libreta de direcciones del Outlook. También consigue archivos WAB y lee los correos de la victima desde allí.

Para enviar mensajes infectados el gusano utiliza una conexión directa "mail.ru" al servidor SMTP.

Otro

El gusano también envía dos mensajes de notificación a este ―master". La primera notificación es enviada antes de propagarse (véase arriba), el segundo mensaje se envía enseguida después de ejecutarse la rutina. Estos dos mensajes se envían a tres direcciones:

[email protected]

[email protected]

[email protected]

Tienen los siguientes Asunto del mensaje:

message1: Otchet from user

message2: Otchet2 from user

El cuerpo de mensaje contiene la lista de correos de la víctima y el nombre completo del archivo ejecutable del gusano.

5. Email-Worm.Win32.Warezov.nf

Otras versiones: .at, .bw, .do, .et, .jv, .lb, .ms, .nv, .on, .op, .qa

Detección agregada 19 abr 2007 04:17 GMT

Actualización lanzada 19 abr 2007 04:40 GMT

Descripción agregada 19 abr 2007


Plataforma Win32

Detalles técnicos

Daños

Instrucciones de eliminación

Detalles técnicos

http://www.viruslist.com/sp/viruses/encyclopedia?virusid=135921











http://www.viruslist.com/sp/viruses/encyclopedia?virusid=156735#doc1



Es un virus-gusano que se propaga por Internet en los datos adjuntos de los mensajes de correo infectados. En los datos adjuntos el gusano no pone su copia, sino un componente que puede cargar de Internet otros programas nocivos.

Los mensajes infectados se envían a todas las direcciones de correo electrónico encontradas en el ordenador.

El gusano es una aplicación Windows (archivo PE EXE). Está comprimido con Upack. El tamaño de los componentes del gusano puede ser de 20 a 135 kilobytes.

Instalación

Durante su inicio, el gusano muestra el siguiente texto en la pantalla:

Al ejecutarse, el virus copia su archivo ejecutable al catálogo del sistema de Windows bajo el nombre:

%System%\hotpmsta.exe

Y crea los siguientes archivos:

%System%\hotpmsta.dll

%System%\hotpmsta.dat

Además, el troyano crea la siguiente llave en el registro del sistema:

[HKLM\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon\Notify\hotpmsta]

"DllName" = "%System%\hotpmsta.dll"

"Startup" = "WlxStartupEvent"

"Shutdown" = "WlxShutdownEvent"

"Impersonate" = dword:00000000

"Asynchronous" = dword:00000000


Analiza las libretas de direcciones de Microsoft Windows buscando las direcciones de las víctimas.

Para enviar los mensajes infectados, el gusano usa su propia biblioteca SMTP.

Ejemplo de carta infectada:

En los datos adjuntos el gusano no pone su copia, sino un componente que puede cargar de Internet otros programas nocivos.

Daños

Acciones del módulo principal del gusano

Termina los procesos, detiene y elimina los servicios de los programas antivirus y los cortafuegos personales.

El fichero ejecutable principal del gusano descarga de los sitios de los delincuentes diferentes programas nocivos y los instala en el sistema del usuario.

Acciones del componente enviado por correo

Este componente lo envía el módulo principal del gusano. Su función es descargar de Internet otros ficheros sin que el usuario se dé cuenta.

Descarga un archivo de la siguiente dirección:

http://linktunhdesa.com/***32.exe

En el momento en que escribíamos esta descripción, en la dirección indicada se encontraba la última versión del fichero ejecutable del gusano.

El fichero descargado se guarda en el directorio temporal de Windows bajo un nombre también temporal y se lo ejecuta.


Detección. El procedimiento de detección de esta versión del gusano ha sido publicado en una actualización

urgente de la base de datos de Kaspersky Anti-Virus. Si la defensa proactiva de Kaspersky Anti-Virus 6.0 está habilitada, es capaz de detectar este gusano y evitar sus acciones destructivas sin necesidad de las actualizaciones de la base antivirus.

Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, sigua las siguientes instrucciones para eliminarlo:

1. Abrir el Administrador de Tareas y terminar el proceso original del gusano.

http://www.viruslist.com/sp/images/pictures/virus/21778426.png

2. Eliminar el archivo original de la puerta trasera (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).

3. Eliminar manualmente los siguientes ficheros del catálogo del sistema de Windows:

4. %System%\hotpmsta.exe

5. %System%\hotpmsta.dll

%System%\hotpmsta.dat

6. Eliminar la llave del registro:

[HKLM\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon\Notify\hotpmsta]

7. Eliminar todas las cartas infectadas de todos los directorios de correo.

8. Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).

6. Email-Worm.Win32.NetSky.aa

Otras versiones: .b, .q, .t, .x, .y

Alias

Email-Worm.Win32.NetSky.aa (Kaspersky Lab) También conocido como:

W32/Netsky.z@MM (NAI), W32.Netsky.Z@mm (NAV), Win32.HLLM.Netsky.22016 (DrWeb), W32/Netsky-AE (Sophos), Win32/Netsky.Z@mm (RAV), WORM_NETSKY.Z (PCCIL), Worm/NetSky.AA (H+BEDV), W32/Netsky.AK@mm (FPROT), I-Worm/Netsky.Z (AVG), Win32.Netsky.AA@mm (BitDef7), Worm.SomeFool.AA-2 (Clamav), W32/Netsky.Z.worm (Panda), Win32/Netsky.Z (Nod32)

Detección agregada 03 dic 2004



Detalles técnicos

Este gusano se propaga vía Internet como archivo adjunto a los mensajes de correo electrónico infectados.

http://www.kaspersky.com/trials




















Posee una función de ―puerta trasera‖ (backdoor), y es capaz de conducir ataques de Denegación de Servicios (DoS) contra sitios de Internet.

El gusano en sí mismo es un archivo PE EXE de aproximadamente 20KB, comprimido usando UPX.

Instalación

El gusano se copia a sí mismo en el directorio de Windows bajo el nombre de Jammer2nd.exe, inscribe el siguiente archivo en el registro del sistema como archivo auto-ejecutable:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Jammer2nd"="%windir%\jammer2nd.exe"

También crea los archivos PK_ZIP_ALG.LOG y PK_ZIP.LOG en el directorio de Windows.

Estos archivos son copias del gusano en formato UUE y en un archivo ZIP.

El gusano crea el mutex (S)(k)(y)(N)(e)(t) para señalar su presencia en el sistema.


El gusano busca archivos con las siguientes extensiones en todos los discos accesibles de la red: :

adb

asp

cfg

cgi

dbx

dhtm

doc

eml

htm

html

jsp

mbx

mdx

mht

mmf

msg

nch

ods

oft

php

pl

ppt

rtf

sht

shtm

stm

tbb

txt

uin

vbs

wab

wsh

xls

recolecta las direcciones de correo electrónico, enviando una copia de sí mismo a todas las direcciones encontradas. El gusano utiliza su propia biblioteca SMTP para enviar mensajes, y procura establecer una conexión al servidor que recibe los mensajes infectados.

Características de los mensajes infectados.

Los archivos infectados se generan al azar de la siguiente manera:

Dirección del remitente.

Es elegida al azar de las direcciones que encontró en la máquina de la víctima.

Encabezamiento del mensaje (elegido al azar de la lista de abajo)

Hello

Hi

Important

Important bill!

Important data!

Important details!

Important document!

Important informations!

Important notice!

Important textfile!

Important!

Information

Information

Archivo adjunto (elegido al azar de la lista de abajo)

Bill.zip

Data.zip

Details.zip

Important.zip

Informations.zip

Notice.zip

Part-2.zip

Textfile.zip

Los archivos adjuntos tendrán un nombre de la lista de abajo

Bill.txt.exe

Data.txt.exe

Details.txt.exe

Important.txt.exe

Informations.txt.exe

Notice.txt.exe

Part-2.txt.exe

Textfile.txt.exe

Otros

El virus abre el puerto 665 del TCP en la máquina de la víctima para recibir archivos al azar y ejecutarlos.

Dependiendo de los ajustes del reloj del sistema, el gusano puede conducir ataques de Denegación de Servicio (DoS) contra los siguientes sitios

www.educa.ch

www.medinfo.ufl.edu

www.nibis.de

7. Email-Worm.Win32.NetSky.q

Otras versiones: .aa, .b, .t, .x, .y

Alias

Email-Worm.Win32.NetSky.q (Kaspersky Lab) También conocido como: I-Worm.NetSky.q (Kaspersky Lab),

W32/Netsky.ad@MM (NAI), W32.Netsky.P@mm (NAV), Win32.HLLM.Netsky.based (DrWeb), W32/Netsky-P (Sophos), Win32/Netsky.P@mm (RAV), WORM_NETSKY.P (PCCIL), Worm/NetSky.P.2 (H+BEDV), W32/Netsky.P@mm (FPROT), Win32:Netsky-P (AVAST), I-Worm/Netsky.Q (AVG), Win32.Netsky.P@mm (BitDef7), Worm.SomeFool.P-dll (Clamav), W32/Netsky.P.worm (Panda), Win32/Netsky.Q (Nod32)

Descripción agregada 30 jun 2006























Detalles técnicos

Este gusano se propaga a través de Internet como un archivo adjunto a los mensajes infectados. También puede propagarse a traves de redes P2P y directorios http y ftp accesibles.

El componente principal del gusano es un archivo PE EXE de aproximadamente 29KB. El gusano se empaqueta usando FSG; el archivo sin empaquetar es de aproximadamente 40KB de tamaño.

Instalación

El gusano se copia al directorio de Windows bajo el nombre fvprotect.exe y registra este archivo en los códigos de registrosla sección de autoejecución del sistema:

[ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Norton Antivirus AV" = %windir\fvprotect.exe

El gusano también crea un archivo llamado userconfig9x.dll el el directorio de Windows, y otros archivos con los siguientes nombres:

zipped.tmp

base64.tmp

zip1.tmp

zip2.tmp

zip3.tmp

Estos archivos son copias del gusano en formato UEE y archivos ZIP que contienen copias del gusano. Los archivos dentro del archivo ZIP tendrán nombres elegidos de la siguiente lista:

document.txt.exe

data.rtf.scr

details.txt.pif

El gusano crea un mutex (candado), ""_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_", para señalar su presencia en el sistema.

Propagación por correo-ecorreo electrónico

El gusano busca archivos con cualquiera de las siguientes extensiones:

.eml

.txt

.php

.asp

.wab

.doc

.vbs

.rtf

.uin

.shtm

.cgi

.dhtm

.pl

.htm

.html

.adb

.tbb

.dbx

.sht

.oft

.msg

.jsp

.wsh

.xml

y envía copias de sí mismo a las direcciones de correo electrónico recolectadas de estos archivos. El gusano usa su propia biblioteca SMPT para enviar mensajes. El gusano también intenta establecer una conexión directa con el servidor del receptor destinatario del mensaje.

Mensajes Infectados:

Los mensajes infectados contienen combinaciones al azar de las opciones listadas debajo:

Dirección del emisor:

Elegida al azar de aquellas recolectadas por el equipo infectado.

Asunto del mensaje:

Re: Hi

Re: Hello

Re: Encrypted Mail

Re: Extended Mail

Re: Status

Re: Notify

Re: SMTP Server

Re: Mail Server

Re: Delivery Server

Re: Request

Re: Bad Request

Re: Failure

Re: Thank you for delivery

Re: Test

Re: Administration

Re: Message Error

Re: Error

Re: Extended Mail System

Re: Secure SMTP Message

Re: Protected Mail Request

Re: Protected Mail System

Re: Protected Mail Delivery

Re: Secure delivery

Re: Delivery Protection

Re: Mail Authentification

Re: List

Re: Question

Re: Proof of concept

Re: Developement

Re: Message

Re: Error in document

Re: Free porn

Re: Sex pictures

Re: Submit a Virus Sample

Re: Virus Sample

Re: Old times

Re: Old photos

Re: Sample

Re: Its me

Re: Is that your document?

Re: Approved document

Re: Your document

Protected Mail System

Mail Authentication

Is that your password?

Private document

Stolen document

Mail Account

Administrator

Illegal Website

Internet Provider Abuse

Thank you!

Congratulations!

Postcard

Your day

Mail Delivery

Error

Shocking document

You cannot do that!

hi

hello

Fwd: Warning again

Notice again

Spamed?

Spam

0i09u5rug08r89589gjrg

Re: A!p$ghsa

Important m$6h?3p

Do you?

Does it matter?

News

Information

I love you!

I cannot forget you!

here

your

my

thanks!

approved

corrected

patched

improved

important

read it immediately

o una lista de caracteres al azar

Cuerpo del mensaje:

Please see the attached file for details

Please read the attached file!

Your document is attached.

Please read the document.

Your file is attached.


Please confirm the document.

Please read the important document.

See the file.

Requested file.

Authentication required.

Your document is attached to this mail.

I have attached your document.

I have received your document. The corrected document is

attached.

Your document.

Your details.

Please confirm!

Please answer quickly!

Thank you for your request, your details are attached!

Thanks!

am shocked about your document!

Let'us be short: you have no experience in writing letters!!!

Try this, or nothing!

Here is it!

Do not visit this illegal websites!

You have downloaded these illegal cracks?

Here is my icq list.

Here is my phone number.

I have visited this website and I found you in the spammer

list. Is that true?

Are you a spammer? (I found your email on a spammer website!?!)

po44u90ugjid-k9z5894z0

9u049u89gh89fsdpokofkdpbm3-4i

Please r564g!he4a56a3haafdogu#mfn3o

SMTP Error #201

See the ghg5%&6gfz65!4Hf55d!46gfgf

Server Error #203

Your photo, uahhh.... , you are naked!

You have written a very good text, excellent, good work!

Your archive is attached.

Monthly news report.

lovely, :-)

your big love, ;-)

I hope you accept the result!

The sample is attached!

Your important document, correction is finished!

Important message, do not show this anyone!

Here is the website. ;-)

My favourite page.

I have corrected your document.

I have attached the sample.

Your bill is attached to this mail.

You were registered to the pay system.

For more details see the attachment.

Binary message is available.

Message has been sent as a binary attachment.

Can you confirm it?

I have attached it to this mail.

Please read the attached file.


Encrypted message is available.

Protected message is attached.

Please confirm my request.

ESMTP [Secure Mail System #334]: Secure message is attached.

Partial message is available.

Waiting for a Response. Please read the attachment.

First part of the secure mail is available.

For more details see the attachment.

For further details see the attachment.

Your requested mail has been attached.

Protected Mail System Test.

Secure Mail System Beta Test.

Forwarded message is available.

Delivered message is attached.

Encrypted message is available.

Please read the attachment to get the message.

Follow the instructions to read the message.

Please authenticate the secure message.

Protected message is attached.

Waiting for authentification.

Protected message is available.

Bad Gateway: The message has been attached.

SMTP: Please confirm the attached message.

You got a new message.

Now a new message is available.

New message is available.

You have received an extended message. Please read the

instructions.

I noticed that you have visited illegal websites.

See the name in the list!

You have visited illegal websites.

I have a big list of the websites you surfed.

Your mail account is expired.

See the details to reactivate it.

Your mail account has been closed.

For further details see the document.

The file is protected with the password ghj001.

I have attached your file. Your password is jkl44563.

The sample file you sent contains a new virus version of

mydoom.j.

Please clean your system with the attached signature.

Sincerly,

Robert Ferrew

Greetings from france,

your friend.

Have a look at these.

Best wishes,

your friend.

Congratulations!,

your best friend.

I found this document about you.

I cannot believe that.

Try this game ;-)

I hope the patch works.

Al final del mensaje podría incluirse información falsa de que el mensaje ha sido examinado y declarado limpio por un programa antivirus:

+++ Attachment: No Virus found

+++ MessageLabs AntiVirus - www.messagelabs.com


+++ Bitdefender AntiVirus - www.bitdefender.com


+++ MC-Afee AntiVirus - www.mcafee.com


+++ Kaspersky AntiVirus - www.kaspersky.com


+++ Panda AntiVirus - www.pandasoftware.com

++++ Attachment: No Virus found

++++ Norman AntiVirus - www.norman.com


++++ F-Secure AntiVirus - www.f-secure.com


++++ Norton AntiVirus - www.symantec.de

Hay una gran variedad de posibles nombres para los archivos adjuntos. El archivo adjunto usualmente tiene una extensión doble, siendo la primera extensión .doc o .txt, y la segunda una de la lista siguiente:

exe

pif

scr

zip

El gusano también puede enviarse como un archivo ZIP.

El gusano no se envía a direcciones que contengan:

@antivi

@avp

@bitdefender

@fbi

@f-pro

@freeav

@f-secur

@kaspersky

@mcafee

@messagel

@microsof

@norman

@norton

@pandasof

@skynet

@sophos

@spam

@symantec

@viruslis

abuse@

noreply@

ntivir

reports@

spam

El gusano podría puede enviar mensajes que contengan el IFRAME

Exploit,

de la misma manera que lo hicieron Klez.h y Swen. Cuando esto

sucedeEn este caso, si el mensaje es visto porvisualizado en

un cliente de correo electrónico vulnerable, el archivo que

contiene

al el gusano se ejecutará automáticamente.

Propagación por P2P

El gusano crea múltiples copias de sí mismo en todos los

subdirectorios

que contengan cualquiera de las palabras de la siguiente lista:

bear

donkey



download

ftp

htdocs

http

icq

kazaa

lime

morpheus

mule

my shared folder

shar

shared files

upload

Los archivos creados por el gusano tendrán recibirán

nombres

elegidos de la siguiente lista:

Kazaa Lite 4.0 new.exe

Britney Spears Sexy archive.doc.exe

Kazaa new.exe

Britney Spears porn.jpg.exe

Harry Potter all e.book.doc.exe

Britney sex xxx.jpg.exe

Harry Potter 1-6 book.txt.exe

Britney Spears blowjob.jpg.exe

Harry Potter e book.doc.exe

Britney Spears cumshot.jpg.exe

Harry Potter.doc.exe

Britney Spears fuck.jpg.exe

Harry Potter game.exe

Britney Spears.jpg.exe

Harry Potter 5.mpg.exe

Britney Spears and Eminem porn.jpg.exe

Matrix.mpg.exe

Britney Spears Song text archive.doc.exe

Britney Spears full album.mp3.exe

Eminem.mp3.exe

Britney Spears.mp3.exe

Eminem Song text archive.doc.exe

Eminem Sexy archive.doc.exe

Eminem full album.mp3.exe

Eminem Spears porn.jpg.exe

Ringtones.mp3.exe

Eminem sex xxx.jpg.exe

Ringtones.doc.exe

Eminem blowjob.jpg.exe

Altkins Diet.doc.exe

Eminem Poster.jpg.exe

American Idol.doc.exe

Cloning.doc.exe

Saddam Hussein.jpg.exe

Arnold Schwarzenegger.jpg.exe

Windows 2003 crack.exe

Windows XP crack.exe

Adobe Photoshop 10 crack.exe

Microsoft WinXP Crack full.exe

Teen Porn 15.jpg.pif

Adobe Premiere 10.exe

Adobe Photoshop 10 full.exe

Best Matrix Screensaver new.scr

Porno Screensaver britney.scr

Dark Angels new.pif

XXX hardcore pics.jpg.exe

Microsoft Office 2003 Crack best.exe

Serials edition.txt.exe

Screensaver2.scr

Full album all.mp3.pif

Ahead Nero 8.exe

netsky source code.scr

E-Book Archive2.rtf.exe

Doom 3 release 2.exe

How to hack new.doc.exe

Learn Programming 2004.doc.exe

WinXP eBook newest.doc.exe

Win Longhorn re.exe

Dictionary English 2004 - France.doc.exe

RFC compilation.doc.exe

1001 Sex and more.rtf.exe

3D Studio Max 6 3dsmax.exe

Keygen 4 all new.exe

Windows 2000 Sourcecode.doc.exe

Norton Antivirus 2005 beta.exe

Gimp 1.8 Full with Key.exe

Partitionsmagic 10 beta.exe

Star Office 9.exe

Magix Video Deluxe 5 beta.exe

Clone DVD 6.exe

MS Service Pack 6.exe

ACDSee 10.exe

Visual Studio Net Crack all.exe

Cracks & Warez Archiv.exe

WinAmp 13 full.exe

DivX 8.0 final.exe

Opera 11.exe

Internet Explorer 9 setup.exe

Smashing the stack full.rtf.exe

Ulead Keygen 2004.exe

Lightwave 9 Update.exe

The Sims 4 beta.exe

Otros

Si el gusano encuentra las los códigosclaves listadas

debajode la siguiente

lista en el registro del sistema

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVer

sion\Run]

las eliminará.

Explorer

system.

msgsvr32

winupd.exe

direct.exe

jijbl

service

Sentry

au.exe

direct.exe

d3dupdate.exe

OLE

gouday.exe

rate.exe

Taskmon

Windows Services Host

sysmon.exe

srate.exe

ssate.exe

winupd.exe

También eliminará los códigoslas claves

system.

Video

de la sección

HKLM\SOFTWARE\Microsoft\Windows\C

urrentVersion\RunServices

Y los siguientes componentes de los

códigosvalores de las claves, creadas

por I-Worm.Bagle.

HKLM\SYSTEM\CurrentControlSet\Ser

vices\WksPatch

HKCU\SOFTWARE\Microsoft\Windows\C

urrentVersion\Explorer\PINF

HKCR\CLSID\CLSID\{E6FB5E20-DE35-

11CF-9C87-

00AA005127ED}\InProcServer32

b. IM Worms (gusanos de mensajes instantáneos)

1. Wa

IM-Worm.Win32.Bropia.aj

Otras versiones: .ad

Alias

IM-Worm.Win32.Bropia.aj (Kaspersky Lab) También conocido como: IM-Worm.Win32.VB.e (Kaspersky Lab),

Detección agregada 04 feb 2005


Comportamiento IM-Worm

Detalles técnicos

Este gusano se propaga a través de Internet usando MSN Messenger. Está escrito en Visual Basic y es de aproximadamente 200 KB de tamaño.

El gusano contiene un programa backdoor, el Backdoor.Win32.Rbot.hg que mismo para ser descomprime e instala en el equipo de la víctima.

Instalación

Una vez ejecutado, el gusano se copia al directorio raíz (como regla, C:\) bajo uno de los siguientes nombres:

bedroom-thongs.pif

Hot.pif

LMAO.pif

LOL.scr

naked_drunk.pif

new_webcam.pif

ROFL.pif

underware.pif

Webcam.pif

También el gusano se copia al directorio del sistema de Windows como "msnus.exe":




%System%\msnus.exe

El gusano busca los siguientes archivos:

dnsserv.exe

winhost.exe

winis.exe

Si no los encuentra, IM-Worm.Win32.VB.e baja el archivo "cz.exe" y lo ejecuta. Este archivo es una puerta trasera. Kaspersky Anti-Virus detectará este componente como Backdoor.Win32.Rbot.hg.

Cuando "cz.exe" se ejecuta, se copia en el directorio del sistema de Windows como "winhost.exe".

Luego se registra en el registro del sistema:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKCU\Software\Microsoft\OLE]

"win32" = "winhost.exe"

El gusano también crea el archivo "sexy.jpg" en el directorio raíz y lo abre, mostrando la siguiente imagen:

Propagación por MSN

Cuando se ejecuta, el gusano obtiene acceso a la lista de contactos de MSN Messenger y se envía a todos los contactos bajo uno de los nombres mencionados anteriormente.

Daños

El gusano cambia los niveles de volumen a cero.

2. Dsa

IM-Worm.Win32.Bropia.ad

Otras versiones: .aj


Alias

IM-Worm.Win32.Bropia.ad (Kaspersky Lab) También conocido como:

W32/Kelvir.worm.gen (NAI), W32.Kelvir (NAV), Win32.HLLW.Bropia (DrWeb), W32/Bropia-W (Sophos), WORM_BROPIA.W (PCCIL), Worm/Bropia.AD (H+BEDV), W32/Bropia.AC (FPROT), Worm/Kelvir.2.K (AVG), Win32.Worm.Bropia.U (BitDef7), W32/Bropia.AP.worm (Panda), Win32/Kelvir.BR (Nod32)

Detección agregada 20 may 2005 22:15 GMT



Detalles técnicos

Este gusano está escrito en Visual Basic y normalmente tiene dos componentes: el gusano de Mensajes Instantáneos en sí, y una variante de Backdoor.Win32.Rbot incluida en el archivo. El backdoor se empaqueta usualmente con UPX y Morphine. Será detectado como Backdoor.Win32.Rbot.gen.

El gusano es de 188,416 bytes de tamaño. La puerta trasera que está incluida en el archivo del gusano es de 86,528 bytes de tamaño cuando está empaquetada, y de aproximadamente 1.23MB cuando no lo está.

Instalación

Este gusano llegará probablemente en un fichero descargado de P2P o como un link por MSN Messenger.

Al ser ejecutado, el gusano se copia al directorio del sistema como msnadp32.exe. También se copia al directorio compartido de varias aplicaciones de P2P.

La puerta trasera también se queda en C:\tmpdata como ImSexy.exe. Una vez ejecutado, se convierte en %sysdir%\pwmgr.exe y elimina ImSexy.exe.

El gusano añade una clave al registro para asegurarse de ser ejecutado cuando se inicie Windows.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R

un]

MSN Administration For Windows="msnadp32.exe"

El backdoor también añade claves al registro para asegurarse de ser ejecutado cuando se inicie Windows.














[HKEY_USERS\S-1-5-21-1482476501-162531612-839522115-

1003\Software\Microsoft\OLE]

WinPWD Manager="pwmgr.exe"

[HKEY_USERS\S-1-5-21-1482476501-162531612-839522115-

1003\Software\Microsoft\Windows\CurrentVersion\Run]


[HKEY_USERS\S-1-5-21-1482476501-162531612-839522115-

1003\Software\Microsoft\Windows\CurrentVersion\RunServices]


[HKEY_USERS\S-1-5-21-1482476501-162531612-839522115-

1003\SYSTEM\CurrentControlSet\Control\Lsa]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]



un]



unServices]


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa]


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]


Daños

El gusano es usado eficazmente para propagar el backdoor Rbot. Esta variante de Rbot tiene muchas funciones, incluyendo: recibir y ejecutar archivos, descubrir contraseñas, actuar como un servidor FTP, actuar como un servidor proxy, revisar puertos, dirigir ataques DoS, capturar pantallas y camáras web y propagarse a través de redes utilizando exploits y ataques de diccionarios.

También puede robar los códigos de varios juegos populares para PC.

El archivo local encontrado en %sysdir%\drivers\etc será reemplazado. Esto impide el acceso del equipo infectado a varios sitios de internet relacionados con seguridad.

Propagación

El gusano envía mensajes a todas las direcciones en la lista de contactos de MSN. Los mensajes incluyen una conexión a un archivo malicioso .php; esta conexión contiene la dirección de correo electrónico del destinatario. Una vez que el destinatario hace click sobre el enlace, su dirección de correo electrónico será guardada para luego ser usada por los spammers (para enviar correspondencia no solicitada).

[nickname] says:

lmao you dumbass!

[nickname] says:

http://freebuddyicons.[censored].php?user=[recipient's email

address]

Bropia envía estas dos secuencias con cierta regularidad, para maximizar las opciones de que el destinatario haga click sobre el link.

El gusano también utiliza redes P2P para propagarse. Se copia al directorio compartido de varias aplicaciones P2P usando los siguientes nombres:

Adult ID Check.exe

Aim Flooder.exe

Aim Hacker.exe

AIMHacks.exe

Anarchist CookBook.exe

AVPDVDRip.mpg.exe

BF1942FULL.exe

BFVietnam.exe

BigBoobs.exe

BigBoobsXXX.exe

Britney XXX.exe

broadband wizard.exe

cable accelerator.exe

cable uncapper.exe

CallofDutyFULL.exe

CoolGames.exe

Cool_Games.exe

CounterStrike.exe

CounterStrikeSOURCE.exe

CounterStrikeSourceFULL.exe

Cracker Game.exe

Cracks Collections.Exe

Credit Card.exe

Delphi6 Keygen.exe

DOOM3_FULL.exe

DownLoad Accelerator Plus.exe

Dreamcast BootDisc.exe

Dropitlikeitzhot.exe

DVDRipper.exe

Easy CD Creator 5.exe

email hacker.exe

exeeenSaver.exe

F-ProtAV-Full.exe

FBISecretDocuments.exe

FTP Commander.exe

Ftp Cracker.exe

Ftp Hacker.exe

FuckedHARDXXX.exe

Gladiator (Movie) - Full Downloader.exe

GTAViceCity.exe

Hacker Kit.exe

Hacker.exe

HackingWebpage.exe

HackingWindowsXP.exe

HackingXP.exe

HalfLife2FULL+Crack.exe

HalfLife2FULL.exe

Halflife2KeyGen.exe

HalfLife2_FULL.exe

Hotmail Account Hacker.exe

Hotmail Hack.exe

Hotmail Hacker.exe

Hotmail Password Cracker.exe

HotmailHackerKit.exe

How-to-Hack.exe

HowtoHack.exe

Icq Ad Remover.exe

Icq Banner Remover.exe

ICQ Hack.exe

icq hacker.exe

icq ip patch.exe

Ident Faker.exe

Ident Spoofer.exe

IE6 Final.exe

InDaClub.exe

irc flooder.exe

IRobotDVDRip.mpg.exe

Jasc Paint Shop Pro 7 (Full).exe

JeniferLopezNUDE.exe

Johnny English (Movie) - Full Downloader.exe

Kazaa ad remover.exe

LanGuard NetScan.exe

Linux RootKit.exe

Matrix Reloaded.exe

McafeeAntiVirus.exe

MedalofHonorPacificAssultFULL.exe

Microsoft Office Full.exe

MiddleSchoolPornXXX.exe

Mirc6 Full.exe

mirc6 keygen.exe

Mp3 Maker Pro.exe

mp3 to wav full.exe

Msn Hacker.exe

MSN Messenger Password Stealer.exe

MS_Frontpage.exe

NeroBurningRom 6.exe

Norton AntiVirus Full.exe

Norton Keygen-All Vers.exe

NortonAntirVirus2005FULL.exe

NortonAntiVirus2005FULL.exe

NortonPersonalFirewallFULL.exe

NudeCheerleaders.exe

OfficeXP sp2 express.exe

PasswordCrackers.exe

PCChillen.exe

pE packer.exe

Peck.exe

PhotoShopCS8.0_Crack.exe

PipeBombTutorial.exe

PreTeenBlowJob.exe

PreTeenSEX.exe

PreTeenXXX.exe

PS1 BootDisc.exe

PS2 BootDisc.exe

PSXCopy Full.exe

Salford.exe

Serials 2k.exe

Serials Collections.exe

SexyChickXXXHarcore.exe

SexyTeen.exe

Simpsons.exe

SluttyCheerleaders.exe

SohposAntiVirusFULL.exe

Sopohs_Anti_Virus.exe

SpywareKiller.exe

SteelCap.exe

StylesXP.exe

Sub7 Master Password.exe

Sub7 Remover.exe

SwordFish (Movie) - Full Downloader.exe

SxyTeenagePorn.exe

SxyTeenageSEX.exe

SxyTeenFuckedHARD.exe

SxyTeenGetsItuptheASS.exe

TeenSexHardcore.exe

Trillian Patcher.exe

Trillian Pro Full.exe

Trojan Remover.exe

uin2ip.exe

VS.Net Patcher.exe

Wadle.exe

WallPapersXXX.exe

webpage hacker.exe

WebpageHackingTools.exe

WebRootSpySweeper.exe

Westdene.exe

Win Proxy.exe

Win Shares Cracker.exe

Win-RAR-FULL+CRACK.exe

Win-RAR-FULL.exe

Win98 Hacker.exe

WinXP Keygen.exe

WinXPHacking.exe

www hacker kit.exe

XPHackes.exe

xxx exeeensaver.exe

XXX Virtual Sex.exe

XXXCollection.exe

XXXHighSchoolSluts.exe

XXXMagaPack.exe

XXXTeenSexXXX.exe

XXXWallpaperCollection.exe

Yahoo Hacker.exe

Zip_RAR_PWCracker.exe

ZoneAlarm Pro Full.exe

ZoneAlarm.exe

Rbot se propaga a través de redes, aprovechando las vulnerabilidades de Windows que no han sido reparadas, intenta forzar su entrada a los ordenadores probando ataques de diccionario.

Eliminación

Cerciórese de que su antivirus esté al día. Si su sistema está infectado, y no puede ingresar al sitio de su distribuidor de aintivirus, elimine el archivo ―host‖ encontrado en %sysdir%\drivers\etc e intente de nuevo.

Realice una revisión completa de su sistema.

Los usuarios de Kaspersky Anti-Virus deben eliminar todos los archivos detectados como IM-Worm.Win32.Bropia.ad y Backdoor.Win32.Rbot.gen. Reinicie si es necesario.

3. Sa

IM-Worm.Win32.Sumom.a

Alias

IM-Worm.Win32.Sumom.a (Kaspersky Lab) También conocido como:

W32/Generic.worm!p2p (NAI), W32.Serflog.A (NAV), Win32.HLLW.Generic.113 (DrWeb), W32/Sumom-A (Sophos), Worm:Win32/Crazog.A (RAV), WORM_FATSO.A (PCCIL), Worm/Sumom.a.html (H+BEDV), W32/Sumom.A (FPROT), Worm/Fatso.A (AVG), Win32.Worm.Sumom.A (BitDef7), Worm.Sumom.A-3 (Clamav), W32/Fatso.A.worm (Panda), Win32/Sumom.A (Nod32)

Detección agregada 07 mar 2005 04:14 GMT



Detalles técnicos

Virus-gusano. Se propaga mediante MSN en forma de enlaces al fichero infectado.

Está empaquetado con por medio de varios programas a la vez. El tamaño del fichero empaquetado es de 17KB; descomprimido, 155KB bytes.

Instalación

Se copia a sí mismo al catálogo de Windows bajo uno de los siguientes nombres:

formatsys.exe

lspt.exe

msmbw.exe

serbw.exe

El fichero copiado se marca con el atributo "oculto" (hidden), lo que permite hacerlo invisible a la mayora de los usuarios.

Se registra bajo uno de los siguientes nombres:

avnort

ltwob

serpe















En las siguientes llaves del registro del sistema:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\R

un][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio

n\RunServices][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cu

rrentVersion\policies\Explorer\Run]

Suplanta el fichero %WINDIR%\System32\Drivers\etc\hosts con los valores de la siguiente lista, lo que le permite impedir que los usuarios de Windows se conecten a los sitios de las compañías antivirus:

64.233.167.104 avp.com

64.233.167.104 ca.com

64.233.167.104 customer.symantec.com

64.233.167.104 dispatch.mcafee.com

64.233.167.104 download.mcafee.com

64.233.167.104 f-secure.com

64.233.167.104 grisoft.com

64.233.167.104 kaspersky.com

64.233.167.104 kaspersky-labs.com

64.233.167.104 liveupdate.symantec.com

64.233.167.104 liveupdate.symantecliveupdate.com

64.233.167.104 mast.mcafee.com

64.233.167.104 mcafee.com

64.233.167.104 my-etrust.com

64.233.167.104 nai.com

64.233.167.104 networkassociates.com

64.233.167.104 rads.mcafee.com

64.233.167.104 sandbox.norman.no

64.233.167.104 secure.nai.com

64.233.167.104 securityresponse.symantec.com

64.233.167.104 sophos.com

64.233.167.104 symantec.com

64.233.167.104 trendmicro.com

64.233.167.104 uk.trendmicro-europe.com

64.233.167.104 update.symantec.com

64.233.167.104 updates.symantec.com

64.233.167.104 us.mcafee.com

64.233.167.104 viruslist.com

64.233.167.104 www.avp.com

64.233.167.104 www.ca.com

64.233.167.104 www.f-secure.com

64.233.167.104 www.grisoft.com

64.233.167.104 www.kaspersky.com

64.233.167.104 www.mcafee.com

64.233.167.104 www.my-etrust.com

64.233.167.104 www.nai.com

64.233.167.104 www.networkassociates.com

64.233.167.104 www.pandasoftware.com

64.233.167.104 www.sophos.com

64.233.167.104 www.symantec.com

64.233.167.104 www.trendmicro.com

64.233.167.104 www.viruslist.com

Se propaga bajo los siguientes nombres:

Annoying crazy frog getting killed.pif

Crazy frog gets killed by train!.pif

Fat Elvis! lol.pif

How a Blonde Eats a Banana...pif

Jennifer Lopez.scr

LOL that ur pic!.pif

lspt.exe

Me on holiday!.pif

Mona Lisa Wants Her Smile Back.pif

My new photo!.pif

See my lesbian friends.pif

The Cat And The Fan piccy.pif

Topless in Mini Skirt! lol.pif

Manifestaciones de su presencia en el sistema

Se crean ficheros con los siguientes nombres en el catálogo raíz del disco CÑ con atributos "ocultos":

Annoying crazy frog getting killed.pif

Crazy frog gets killed by train!.pif

Crazy-Frog.Html

Fat Elvis! lol.pif

How a Blonde Eats a Banana...pif

Jennifer Lopez.scr

LOL that ur pic!.pif

lspt.exe

Me on holiday!.pif

Message to n00b LARISSA.txt

Mona Lisa Wants Her Smile Back.pif

My new photo!.pif

See my lesbian friends.pif

The Cat And The Fan piccy.pif

Topless in Mini Skirt! lol.pif

Destruye los siguientes procesos activos en el sistema:

apvxdwin.exe

atupdater.exe

aupdate.exe

autodown.exe

autotrace.exe

autoupdate.exe

avconsol.exe

avengine.exe

avsynmgr.exe

avwupd32.exe

avxquar.exe

bawindo.exe

blackd.exe

ccapp.exe

ccevtmgr.exe

ccproxy.exe

ccpxysvc.exe

cfiaudit.exe

cmd.exe

defwatch.exe

drwebupw.exe

escanh95.exe

escanhnt.exe

firewall.exe

frameworkservice.exe

icssuppnt.exe

icsupp95.exe

luall.exe

lucoms~1.exe

mcagent.exe

mcshield.exe

mcupdate.exe

mcvsescn.exe

mcvsrte.exe

mcvsshld.exe

msconfig.exe

msdev.exe

navapsvc.exe

navapw32.exe

nisum.exe

nopdb.exe

nprotect.exe

nupgrade.exe

ollydbg.exe

outpost.exe

pavfires.exe

pavproxy.exe

pavsrv50.exe

peid.exe

petools.exe

regedit.exe

reshacker.exe

rtvscan.exe

rulaunch.exe

savscan.exe

shstat.exe

sndsrvc.exe

symlcsvc.exe

taskmgr.exe

Update.exe

updaterui.exe

vshwin32.exe

vsstat.exe

vstskmgr.exe

w32dasm.exe

winhex.exe

wscript.exe

Al descomprimirse contiene los siguientes renglones:

'-F-u-c-k-'-Y-o-u-'

Hey LARISSA fuck off, you fucking n00b!.. Bla bla to your fucking

Saving the world from Bropia, the world n33ds saving from you!

'-S-K-Y-'-D-E-V-I-L-'

.:*Fuck-Off*:.

c. Gusanos de internet

1. Hffd

Email-Worm.Win32.Eyeveg.f

Otras versiones: .b, .g

Alias

Email-Worm.Win32.Eyeveg.f (Kaspersky Lab) También conocido como: Worm.Win32.Eyeveg.f (Kaspersky

Lab), W32/Eyeveg.worm.gen (NAI), W32.Lanieca.A@mm (NAV), Win32.HLLW.Eyeveg.2 (DrWeb), W32/Wurmark-J (Sophos), Worm:Win32/Eyeveg.E (RAV), WORM_WURMARK.J (PCCIL), Worm/Cipie (H+BEDV), W32/Eyeveg.H@mm (FPROT), PSW.Agent.5.V (AVG), Trojan.Spy.Agent.AJ (BitDef7), Trojan.W32.PWS.Prostor.A (Clamav), W32/Eyeveg.F.worm (Panda), Win32/Eyeveg.I (Nod32)

Detección agregada 09 may 2005 08:21 GMT


Comportamiento Worm

Detalles técnicos

ste gusano está escrito en Visual C++ y se compone de dos archivos, un archivo ejecutable (EXE) y una biblioteca de enlace dinámico (dynamic link library ó DLL), la cual se encuentra dentro del archivo EXE. El archivo EXE se empaqueta usando UPX, y es de un tamañosu tamaño es de 80384 bytes. El archivoEl tamaño del archivo DLL es de un tamaño de 77824 bytes.



















Instalación

El gusano se copia al directorio del sistema bajo un nombre cualquiera compuesto de 6 letras. El archivo DLL se guardará en el mismo lugar. En sistemas Win9x, este proceso será veladoinvisible.

Daños

El gusano desactivará las barreras internas de seguridad internas de Windows XP.

Actuará como un decodificador de contraseñas, recolectando detalles de carpetas compartidas, contraseñas que han sido guardadas en el Navegador de Internet, contraseñas de correo-ecorreo electrónico y otros datos confidenciales. Luego utiliza http POST para enviar esta información a www.melan******oll.biz/n.php.

Propagación por correo electrónico-e

El gusano se envía a direcciones de correo electrónico recolectadas de archivos con extensiones como: html, eml, sht, asp, mbx.

Nombres de los archivos adjuntos:

love.jpg ...scr

resume.doc ...scr

details.doc ...scr

news.doc ...scr

image.jpg ...scr

message.txt ...scr

pic.jpg ...scr

girls.jpg ...scr

photo.jpg ...scr

video.avi ...scr

music.mp3 ...scr

song.wav ...scr

screensaver ...scr

El archivo adjunto también puede llegar como un archivo ZIP, utilizando los nombres mencionados anteriormente.

Propagación por redes

El gusano también se copia a carpetas compartidas abiertas.

2. Bff

Net-Worm.Linux.Lupper.a

Detección agregada 07 nov 2005 04:54 GMT

Descripción agregada 24 ene 2008

Comportamiento Net-Worm

Detalles técnicos

Este programa malicioso propaga unos archivos con formato ELF y representa un peligro para los servidores web de Linux.

El gusano se propaga a través de las siguientes vulnerabilidades:

1. AWStats Rawlog Plugin Logfile Parameter Input Validation Vulnerability (Bugtraq 10950);

2. XML-RPC for PHP Remote Code Injection Vulnerability (Bugtraq ID 14088);

3. Darryl Burgdorf Webhints Remote Command Execution Vulnerability (Bugtraq ID 13930).

Las siguientes aplicaciones contienen estas vulnerabilidades:

b2evolution

Drupal

PHPGroupWare

PostNuke

TikiWiki

WordPress

Xoops

Estas vulnerabilidades fueron corregidas en las últimas versiones de los programas.

Una serie de instrucciones se ejecutan en los servidores a través de las vulnerabilidades. Primero, una copia del gusano se descarga desde una dirección fija utilizando wget. La copia del gusano se guarda en el directorio /tmp como "lupii". Luego, un bit ejecutable se incrusta utilizando la instrucción chmod, y el archivo ejecutable se auto-ejecuta.

Además, instala una puerta trasera en el puerto UDP 7222 del servidor comprometido y espera recibir instrucciones.

El gusano genera una lista de URLs que contienen las siguientes cadenas de texto:

/awstats/

/b2/xmlsrv/xmlrpc.php

/b2evo/xmlsrv/xmlrpc.php

/blog/xmlrpc.php

/blog/xmlsrv/xmlrpc.php

/blogs/xmlrpc.php

/blogs/xmlsrv/xmlrpc.php

/blogtest/xmlsrv/xmlrpc.php

/cgi/awstats/

/cgi/hints.cgi

/cgi/hints.pl

/cgi/includer.cgi

/cgi-bin/

/cgi-bin/awstats/

/cgi-bin/hints.cgi

/cgi-bin/hints.pl

/cgi-bin/hints/hints.cgi

/cgi-bin/hints/hints.pl

/cgi-bin/inc/includer.cgi

/cgi-bin/include/includer.cgi

/cgi-bin/includer.cgi

/cgi-bin/stats/

/cgi-bin/webhints/hints.cgi

/cgi-bin/webhints/hints.pl

/cgi-local/includer.cgi

/community/xmlrpc.php

/drupal/xmlrpc.php

/hints.cgi

/hints.pl

/hints/hints.cgi

/hints/hints.pl

/includer.cgi

/phpgroupware/xmlrpc.php

/scgi/awstats/

/scgi/hints.cgi

/scgi/hints.pl

/scgi/includer.cgi

/scgi-bin/

/scgi-bin/awstats/

/scgi-bin/hints.cgi

/scgi-bin/hints.pl

/scgi-bin/hints/hints.cgi

/scgi-bin/hints/hints.pl

/scgi-bin/inc/includer.cgi

/scgi-bin/include/includer.cgi

/scgi-bin/includer.cgi

/scgi-bin/stats/

/scgi-bin/webhints/hints.cgi

/scgi-bin/webhints/hints.pl

/scgi-local/includer.cgi

/scripts/

/stats/

/webhints/hints.cgi

/webhints/hints.pl

/wordpress/xmlrpc.php

/xmlrpc.php

/xmlrpc/xmlrpc.php

/xmlsrv/xmlrpc.php

Esta lista se utiliza para contagiar otros anfitriones.

3. Dsaa

Net-Worm.Win32.Mytob.bk

Otras versiones: .be, .bi, .r, .w

Alias

Net-Worm.Win32.Mytob.bk (Kaspersky Lab) También conocido como:

W32/Mytob.gen@MM (NAI), W32.Mytob.ED@mm (NAV), Win32.HLLM.MyDoom.55 (DrWeb), W32/Mytob-AS (Sophos), WORM_MYTOB.EE (PCCIL), Worm/Mytob.FH (H+BEDV), W32/Mytob.FK@mm (FPROT), Win32.Worm.Mytob.CC (BitDef7), Worm.Mytob.AS (Clamav), W32/Mytob.FB.worm (Panda), Win32/Mytob.EA (Nod32)

Detección agregada 11 jun 2005 11:26 GMT


Comportamiento Net-Worm

Detalles técnicos

Este gusano de red infecta ordenadores con Windows. El gusano en sí es un archivo PE EXE, escrito en Visual C++ y empaquetado usando UPX. El tamaño del archivo es de 57470 bytes. El archivo sin empaquetar tiene un tamaño aproximado de 116KB.

También se extiende por Internet como un anexo a los mensajes infectados Se envía a direcciones de correo electrónico recolectadas del ordenador de la víctima.

El gusano contiene una puerta trasera (backdoor) que recibe instrucciones vía IRC.

Instalación

Una vez ejecutado, el gusano se copia a sí mismo al directorio del sistema de Windows como "wincfg32.exe".

%System%\wincfg32.exe

Luego se copia a sí mismo en el registro del sistema de Windows, para asegurar su ejecución cada vez que Windows sea reiniciado en el equipo de la víctima:


[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]

"Windows Configuration" = "wincfg32.exe"

















También cambia la siguiente clave del registro para bloquear el servicio al Acceso compartido (Shared Access):

[HKLM\System\CurrentControlSet\Services\SharedAccess]

"Start" = "4"

Cambia un rango en la siguiente clave delvarias claves de la siguiente sección del registro del sistema para modificar los ajustea configuracións de seguridad de Internet Explorer:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet

Settings\Zones\3]


El gusano se envía a las direcciones de correo electrónico recogidas de la libreta de direcciones de Windows y los archivos con las siguientes extensiones:

adb

asp

cgi

dbx

htm

html

jsp

php

pl

sht

tbb

txt

wab

xml

El gusano ignora las direcciones que contienen las siguientes cadenas de texto:

.gov

.mil

abuse

accoun

acketst

admin

admin

administrator

anyone

arin.

avp

berkeley

borlan

bsd

bsd

bugs

ca

certific

contact

example

feste

fido

foo.

fsf.

gnu

gold-certs

google

google

gov.

help

hotmail

iana

ibm.com

icrosof

icrosoft

ietf

info

info

inpris

isc.o

isi.e

kernel

linux

linux

listserv

mail

math

me

mit.e

mozilla

msn.

mydomai

no

nobody

nodomai

noone

not

nothing

ntivi

page

panda

pgp

postmaster

privacy

rating

register

rfc-ed

ripe.

root

ruslis

samples

secur

secur

sendmail

service

service

site

soft

somebody

someone

sopho

spam

spm

submit

support

support

syma

tanford.e

the.bat

unix

unix

usenet

utgers.ed

webmaster

webmaster

www

you

your

El gusano establece un enlaceuna conexión directao al servidor SMTP del destinatario para enviar los mensajes infectados.

Mensajes infectados

Remitente (incluye uno de los nombres listados abajo):

adam

alex

andrew

anna

bill

bob

bob

brenda

brent

brian

claudia

dan

dave

david

debby

frank

fred

george

helen

jack

james

jane

jerry

jim

jimmy

joe

john

jose

josh

julie

kevin

leo

linda

maria

mary

matt

michael

michael

mike

paul

peter

ray

robert

sales

sam

sandra

serg

smith

stan

steve

ted

tom

Asunto del mensaje (elegido al azar de la lista de abajo)

*DETECTED* Online User Violation

Email Account Suspension

Important Notification

Members Support

Notice of account limitation

Security measures

Warning Message: Your services near to be closed.

You have successfully updated your password

Your Account is Suspended

Your Account is Suspended For Security Reasons

Your new account password is approved

Your password has been successfully updated

Your password has been updated

Cuerpo del mensaje (elegido al azar de la lista de abajo)

Dear user <random name>,

You have successfully updated the password of your <random name>

account.

If you did not authorize this change or if you need assistance with

your account, please contact <random name> customer service at:

<random name>

Thank you for using <random name>!

The <random name> Support Team

+++ Attachment: No Virus (Clean)

+++ <random name> Antivirus - www. <random name>

Dear user <random name>,

It has come to our attention that your <random name> User Profile ( x

) records are out of date. For further details see the attached

document.

Thank you for using <random name>!




Dear <random name> Member,

We have temporarily suspended your email account <random name>.

This might be due to either of the following reasons:

1. A recent change in your personal information (i.e. change of

address).

2. Submiting invalid information during the initial sign up process.

3. An innability to accurately verify your selected option of

subscription due to an internal error within our processors.

See the details to reactivate your <random name> account.

Sincerely,The <random name> Support Team



Dear <random name> Member,

Your e-mail account was used to send a huge amount of unsolicited spam

messages during the recent week. If you could please take 5-10 minutes

out of your online experience and confirm the attached document so you

will not run into any future problems with the online service.

If you choose to ignore our request, you leave us no choice but to

cancel your membership.

Virtually yours,




Nombre del archivo adjunto (elegido al azar de la lista de abajo)

accepted-password

account-details

account-info

account-password

account-report

approved-password

document

email-details

email-password

important-details

new-password

password

readme

updated-password

El archivo adjunto puede tener una de las siguientes extensiones:

.bat

.cmd

.exe

.pif

.scr

El archivo adjunto también puede ser un archivo .ZIP, que contiene una copia del gusano en un archivo de doble extensión por ejemplo:

important-details.txt .scr

Administración a distancia

Net-Worm.Win32.Mytob.bk abre el un puerto TCP en el ordenador de la víctima y se conecta a canales IRC de charla interactiva para recibir órdenes. Esto da al usuario malicioso un acceso completo al equipo de la víctima vía canales IRC, para recibir información del ordenador infectado, descargar archivos, iniciarlos y eliminarlos.

Otros

El gusano escribe el siguiente texto en el archivo "%System%\drivers\etc\hosts". Esto significa que el usuario de la máquina infectada es incapaz de ingresar a estos sitios.

127.0.0.1 www.symantec.com

127.0.0.1 securityresponse.symantec.com

127.0.0.1 symantec.com

127.0.0.1 www.sophos.com

127.0.0.1 sophos.com

127.0.0.1 www.mcafee.com

127.0.0.1 mcafee.com

127.0.0.1 liveupdate.symantecliveupdate.com

127.0.0.1 www.viruslist.com



127.0.0.1 f-secure.com

127.0.0.1 www.f-secure.com

127.0.0.1 kaspersky.com

127.0.0.1 kaspersky-labs.com

127.0.0.1 www.avp.com

127.0.0.1 www.kaspersky.com

127.0.0.1 avp.com

127.0.0.1 www.networkassociates.com

127.0.0.1 networkassociates.com

127.0.0.1 www.lycos-vds.com

127.0.0.1 t35.com

127.0.0.1 www.t35.com

127.0.0.1 t35.net

127.0.0.1 www.t35.net

127.0.0.1 funpic.org

127.0.0.1 www.funpic.org

127.0.0.1 funpic.de

127.0.0.1 www.funpic.de

127.0.0.1 www.ca.com

127.0.0.1 ca.com

127.0.0.1 mast.mcafee.com

127.0.0.1 my-etrust.com

127.0.0.1 www.my-etrust.com

127.0.0.1 download.mcafee.com

127.0.0.1 dispatch.mcafee.com

127.0.0.1 secure.nai.com

127.0.0.1 nai.com

127.0.0.1 www.nai.com

127.0.0.1 update.symantec.com

127.0.0.1 updates.symantec.com

127.0.0.1 us.mcafee.com

127.0.0.1 liveupdate.symantec.com

127.0.0.1 customer.symantec.com

127.0.0.1 rads.mcafee.com

127.0.0.1 trendmicro.com

127.0.0.1 pandasoftware.com

127.0.0.1 www.pandasoftware.com

127.0.0.1 www.trendmicro.com

127.0.0.1 www.grisoft.com

127.0.0.1 www.microsoft.com

127.0.0.1 microsoft.com

127.0.0.1 www.virustotal.com

127.0.0.1 virustotal.com

Detendrá su proceso si los nombres contienen las siguientes cadenas:

ACKWIN32.EXE

ADAWARE.EXE

ADVXDWIN.EXE

AGENTSVR.EXE

AGENTW.EXE

ALERTSVC.EXE

ALEVIR.EXE

ALOGSERV.EXE

AMON9X.EXE

ANTI-TROJAN.EXE

ANTIVIRUS.EXE

ANTS.EXE

APIMONITOR.EXE

APLICA32.EXE

APVXDWIN.EXE

ARR.EXE

ATCON.EXE

ATGUARD.EXE

ATRO55EN.EXE

ATUPDATER.EXE

ATUPDATER.EXE

ATWATCH.EXE

AUPDATE.EXE

AUPDATE.EXE

AUTODOWN.EXE

AUTODOWN.EXE

AUTOTRACE.EXE

AUTOTRACE.EXE

AUTOUPDATE.EXE

AUTOUPDATE.EXE

AVCONSOL.EXE

AVE32.EXE

AVGCC32.EXE

AVGCTRL.EXE

AVGNT.EXE

AVGSERV.EXE

AVGSERV9.EXE

AVGUARD.EXE

AVGW.EXE

AVKPOP.EXE

AVKSERV.EXE

AVKSERVICE.EXE

AVKWCTl9.EXE

AVLTMAIN.EXE

AVNT.EXE

AVP.EXE

AVP32.EXE

AVPCC.EXE

AVPDOS32.EXE

AVPM.EXE

AVPTC32.EXE

AVPUPD.EXE

AVPUPD.EXE

AVSCHED32.EXE

AVSYNMGR.EXE

AVWINNT.EXE

AVWUPD.EXE

AVWUPD32.EXE

AVWUPD32.EXE

AVWUPSRV.EXE

AVXMONITOR9X.EXE

AVXMONITORNT.EXE

AVXQUAR.EXE

AVXQUAR.EXE

BACKWEB.EXE

BARGAINS.EXE

BD_PROFESSIONAL.EXE

BEAGLE.EXE

BELT.EXE

BIDEF.EXE

BIDSERVER.EXE

BIPCP.EXE

BIPCPEVALSETUP.EXE

BISP.EXE

BLACKD.EXE

BLACKICE.EXE

BLSS.EXE

BOOTCONF.EXE

BOOTWARN.EXE

BORG2.EXE

BPC.EXE

BRASIL.EXE

BS120.EXE

BUNDLE.EXE

BVT.EXE

CCAPP.EXE

CCEVTMGR.EXE

CCPXYSVC.EXE

CDP.EXE

CFD.EXE

CFGWIZ.EXE

CFIADMIN.EXE

CFIAUDIT.EXE

CFIAUDIT.EXE

CFINET.EXE

CFINET32.EXE

CLEAN.EXE

CLEANER.EXE

CLEANER3.EXE

CLEANPC.EXE

CLICK.EXE

CMD32.EXE

CMESYS.EXE

CMGRDIAN.EXE

CMON016.EXE

CONNECTIONMONITOR.EXE

CPD.EXE

CPF9X206.EXE

CPFNT206.EXE

CTRL.EXE

CWNB181.EXE

CWNTDWMO.EXE

CLAW95CF.EXE

DATEMANAGER.EXE

DCOMX.EXE

DEFALERT.EXE

DEFSCANGUI.EXE

DEFWATCH.EXE

DEPUTY.EXE

DIVX.EXE

DLLCACHE.EXE

DLLREG.EXE

DOORS.EXE

DPF.EXE

DPFSETUP.EXE

DPPS2.EXE

DRWATSON.EXE

DRWEB32.EXE

DRWEBUPW.EXE

DSSAGENT.EXE

DVP95.EXE

DVP95_0.EXE

ECENGINE.EXE

EFPEADM.EXE

EMSW.EXE

ENT.EXE

ESAFE.EXE

ESCANHNT.EXE

ESCANV95.EXE

ESPWATCH.EXE

ETHEREAL.EXE

ETRUSTCIPE.EXE

EVPN.EXE

EXANTIVIRUS-CNET.EXE

EXE.AVXW.EXE

EXPERT.EXE

EXPLORE.EXE

F-PROT.EXE

F-PROT95.EXE

F-STOPW.EXE

FAMEH32.EXE

FAST.EXE

FCH32.EXE

FIH32.EXE

FINDVIRU.EXE

FIREWALL.EXE

FNRB32.EXE

FP-WIN.EXE

FP-WIN_TRIAL.EXE

FPROT.EXE

FRW.EXE

FSAA.EXE

FSAV.EXE

FSAV32.EXE

FSAV530STBYB.EXE

FSAV530WTBYB.EXE

FSAV95.EXE

FSGK32.EXE

FSM32.EXE

FSMA32.EXE

FSMB32.EXE

GATOR.EXE

GBMENU.EXE

GBPOLL.EXE

GENERICS.EXE

GMT.EXE

GUARD.EXE

GUARDDOG.EXE

HACKTRACERSETUP.EXE

HBINST.EXE

HBSRV.EXE

HOTACTIO.EXE

HOTPATCH.EXE

II. Virus clásico

a. Virus de archivos ejecutables y de arranque

Virus.Win32.Gpcode.ai

Otras versiones: .ad, .ag, .ak

Detección agregada 16 jul 2007 00:10 GMT


Comportamiento Virus

Detalles técnicos

Daños


Detalles técnicos

Programa nocivo que cifra los ficheros del usuario en el ordenador infectado. Es un programa para Windows (fichero PE-EXE). Está empaquetado con UPX. Su tamaño es de 58.368 bytes. Las variantes conocidas tenían el nombre ―ntos.exe‖.

Los ficheros ejecutables de las variantes conocidas tenían el nombre ―ntos.exe‖.







Daños

Después de iniciarse, el virus genera una llave única para cifrar los ficheros y los guarda en la siguiente llave del registro del sistema:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion]

"WinCode" = "<llave de cifrado>"

También se inscribe a sí mismo en la llave de autoinicio del registro del sistema:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows

NT\CurrentVersion\Winlogon]

"UserInit" = "%System%\userinit.exe, %System%\ntos.exe"

El valor de la llave se coteja con el contenido de los procesos del sistema dónde se ha infiltrado el código nocivo (por ejemplo, Winlogon.exe). Si el valor de la llave cambia (p.e., se la elimina el valor c:\windows\system32\ntos.exe), se la reestablece automáticamente desde algún proceso del sistema.

Además, el código infiltrado protege el fichero ubicado en el directorio del sistema (c:\windows\system32\ntos.exe) contra cualquier modificación, cambio de nombre o copia.

Después, si la fecha en curso se encuentra en el diapasón entre el 10 y 15 de julio de 2007 (inclusive), el programa nocivo empieza a cifrar todos los ficheros del usuario que tengan las siguientes extensiones:

.12m

.3ds

.3dx

.4ge

.4gl

.7z

.a

.a86

.abc

.acd

.ace

.act

.ada

.adi

.aex

.af3

.afd

.ag4

.ai

.aif

.aifc

.aiff

.ain

.aio

.ais

.akf

.alv

.amp

.ans

.ap

.apa

.apo

.app

.arc

.arh

.arj

.arx

.asc

.asm

.ask

.au

.bak

.bas

.bb

.bcb

.bcp

.bdb

.bh

.bib

.bpr

.bsa

.btr

.bup

.bwb

.bz

.bz2

.c

.c86

.cac

.cbl

.cc

.cdb

.cdr

.cgi

.cmd

.cnt

.cob

.col

.cpp

.cpt

.crp

.cru

.csc

.css

.csv

.ctx

.cvs

.cwb

.cwk

.cxe

.cxx

.cyp

.d

.db

.db0

.db1

.db2

.db3

.db4

.dba

.dbb

.dbc

.dbd

.dbe

.dbf

.dbk

.dbm

.dbo

.dbq

.dbt

.dbx

.dfm

.djvu

.dic

.dif

.dm

.dmd

.doc

.dok

.dot

.dox

.dsc

.dwg

.dxf

.dxr

.eps

.exp

.f

.fas

.fax

.fdb

.fla

.flb

.frm

.fm

.fox

.frm

.frt

.frx

.fsl

.gtd

.gif

.gz

.gzip

.h

.ha

.hh

.hjt

.hog

.hpp

.htm

.html

.htx

.ice

.icf

.inc

.ish

.iso

.jar

.jad

.java

.jpg

.jpeg

.js

.jsp

.key

.kwm

.lst

.lwp

.lzh

.lzs

.lzw

.ma

.mak

.man

.maq

.mar

.mbx

.mdb

.mdf

.mid

.mo

.myd

.obj

.old

.p12

.pak

.pas

.pdf

.pem

.pfx

.php

.php3

.php4

.pgp

.pkr

.pl

.pm3

.pm4

.pm5

.pm6

.png

.ppt

.pps

.prf

.prx

.ps

.psd

.pst

.pw

.pwa

.pwl

.pwm

.pwp

.pxl

.py

.rar

.res

.rle

.rmr

.rnd

.rtf

.safe

.sar

.skr

.sln

.swf

.sql

.tar

.tbb

.tex

.tga

.tgz

.tif

.tiff

.txt

.vb

.vp

.wps

.xcr

.xls

.xml

.zip

En cada catálogo donde se hayan cifrado ficheros, el virus pone el fichero read_me.txt, que tiene el siguiente contenido:

Hello, your files are encrypted with RSA-4096 algorithm

(http://en.wikipedia.org/wiki/RSA).

You will need at least few years to decrypt these files without our software. All

your private information for last 3 months were collected and sent to us.

To decrypt your files you need to buy our software. The price is $300.

To buy our software please contact us at: [email protected] and provide us your

personal code -XXXXX. After successful purchase we will send your decrypting

tool, and your private information will be deleted from our system.

If you will not contact us until 07/15/2007 your private information will be

shared and you will lost all your data.

Glamorous team

El virus crea en el directorio del sistema de Windows un directorio escondido, ―wsnpoem‖, que contiene dos ficheros vacíos: vide.dll y audio.dll.


Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, siga las siguientes instrucciones para eliminarlo:

1. Para desactivar de forma manual el programa nocivo, se puede cambiar el valor de la llave del registro agregando cualquier carácter al final del nombre del módulo nocivo. Por ejemplo:

2. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

"UserInit" = "%System%\userinit.exe, %System%\ntos.exe_"

3. Reiniciar el ordenador.

4. Eliminar manualmente los siguientes ficheros del catálogo del sistema de Windows:

ntos.exe

Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).

Virus.Win32.Delf.k

Detección agregada 10 ene 2006 21:30 GMT

Actualización lanzada 10 ene 2006 22:41 GMT



Detalles técnicos

Daños


Detalles técnicos

Este virus reemplaza archivos .EXE con su propio código.

El virus en sí es un archivo PE EXE de Windows y su tamaño es de 18944 bytes. Está escrito en Delphi.

Daños

Una vez ejecutado, el virus busca en el disco duro archivos con extensión .EXE. Cuando el virus encuentra tal archivo, lo copia a un archivo llamado:

<original file name>.exe.exe

La copia del archivo se coloca en la misma carpeta que el archivo original. Después, el virus borra el contenido del archivo original y lo reemplaza por su prop o código.

Cuando un archivo infectado se ejecuta, el virus lanza la copia del archivo original y luego se detiene.

El virus exhibe el siguiente mensaje el 14 de mayo.





Entonces el virus hace que el equipo de la víctima colapse.


1. Elimine todas las copias del virus y cambie los nombres de los archivos llamados <nombre original del archivo>.exe.exe por <nombre original del archivo>.exe.

2. Actualice la base de datos de su antivirus y lleve a cabo un análisis completo a su ordenador (descargue una versión de prueba de Kaspersky Anti-Virus).

Virus.VBS.Jertva

Detección agregada 02 feb 2005



Detalles técnicos

Daños


Detalles técnicos

Virus que infecta los ficheros con extensiones ―.htm‖, ―.html‖ y ―.asp‖. Su tamaño es de 1.531 bytes. Está escrito en Visual Basic Script (VBS).

Daños

Al iniciarse, el programa comprueba si ha sido lanzada desde un recurso local. Si es así, entonces el virus revisa su directorio de trabajo en busca de ficheros con las extensiones:

*.htm

*.html

*.asp





Al principio de todos los ficheros encontrados escribe el siguiente renglón:



Después, el virus añade su cuerpo al fichero.



1. Eliminar el archivo original del troyano (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).


b. Virus de macro

No se encontró

c. Virus de script

Worm.VBS.Netlog.l

Otras versiones: .k

Alias

Worm.VBS.Netlog.l (Kaspersky Lab) También conocido como: VBS.Netlog.l (Kaspersky Lab),

VBS/Netlog.worm (NAI), VBS.Cable (NAV), VBS/Cable-A (Sophos), VBS/Netlog.L* (RAV), VBS_CABLE.A (PCCIL), VBS/Netlog.L (H+BEDV), VBS/Netlog.B (FPROT), VBS:Malware (AVAST), VBS/Netlog (AVG), VBS.Netlog.I (BitDef7), VBS/Netlog.L (Nod32)


Comportamiento VBSViruses

Detalles técnicos

Daños

Detalles técnicos

El tamaño de este gusano es de 2.282 bytes. Está escrito en Visual Basic Script (VBS). Se propaga copiándose a sí mismo en los ordenadores de la red local.

Daños

Al iniciarse el gusano escoge en la red una dirección IP al azar cuyo primer octeto sea igual a 65 (por ejemplo, 65.24.52.0) y trata de conectarse a todos los ordenadores de esta red, probando cambiar el último octeto de la dirección IP desde 1 hasta 255.

En caso de conectarse, en los ordenadores infectados se agrega un nuevo disco de red con el nombre de X.

Después, el gusano copia los ficheros:

c:\windows\startm~1\programs\startup\_chubby.vbs

c:\sys32.exe

al directorio de autoinicio del disco de red:

x:\windows\startm~1\programs\startup

El fichero c:\sys32.exe también se copia al directorio raíz del disco de red X. Después de lo cual el disco se desconecta.



1. Terminar el proceso del troyano con el Administrador de Tareas.

2. Eliminar el archivo original del gusano (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).

3. Encontrar y eliminar los siguientes ficheros de todos los directorios:

4. _chubby.vbs

sys32.exe


Worm.VBS.Netlog.k

Otras versiones: .l

Alias



Worm.VBS.Netlog.k (Kaspersky Lab) También conocido como: VBS.Netlog.k (Kaspersky Lab),

VBS/Netlog.worm (NAI), VBS.Network (NAV), VBS/Netlog-B (Sophos), VBS_NETLOGI.A (PCCIL), VBS/Netlog #1 (H+BEDV), VBS/Netlog.K (FPROT), VBS:Netlog (AVAST), VBS/Netlog (AVG), VBS.Netlog.D (BitDef7), VBS.Netlog.B (Clamav), VBS/NetLog.E (Panda)


Comportamiento VBSViruses

Detalles técnicos

Daños


Detalles técnicos

El tamaño de este gusano es de 2.282 bytes. Está escrito en Visual Basic Script (VBS). Se propaga copiándose a sí mismo en los ordenadores de la red local.

Daños

Al iniciarse el gusano escoge en la red una dirección IP al azar cuyo primer octeto sea igual a 24 (por ejemplo, 24.91.52.0) y trata de conectarse a todos los ordenadores de esta red, probando cambiar el último octeto de la dirección IP desde 1 hasta 255.

En caso de conectarse, en los ordenadores infectados se agrega un nuevo disco de red con el nombre de X.

Después, el gusano copia los ficheros:

c:\windows\startm~1\programs\startup\tovbs.vbs

c:\windows\startm~1\programs\startup\tovbs.exe

al directorio de autoinicio del disco de red:

z:\windows\startm~1\programs\startup

Después de lo cual el disco se desconecta.

Durante sus actividades en el ordenador del usuario, el gusano crea un fichero donde escribe la información sobre el trabajo efectuado:

c:\my.log

El peligro que representa este gusano es muy bajo, porque su propagación es muy lenta. La búsqueda del ordenador-víctima toma bastante tiempo, aparte de que la mayor parte de los equipos, por lo general, no se conectan a la red de la forma que el gusano necesita.




















2. Eliminar el archivo original del gusano (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).

3. Encontrar y eliminar los siguientes ficheros de todos los directorios:

4. tovbs.vbs

tovbs.exe


Virus.BAT.Bomgen

Alias

Virus.BAT.Bomgen (Kaspersky Lab) También conocido como: BAT.Bomgen (Kaspersky Lab),

Bat/Pilth (NAI), BAT.BWG@mm (NAV), Worm:BAT/Pfilth* (RAV), BAT_FILTH.A (PCCIL), BAT/Pfilt.A (FPROT), BV:Malware (AVAST), VBS.Pfilth.A@mm (BitDef7), Bat.Bomgen (Clamav), BAT/Pfilt (Panda), BAT/Pfilth.A (Nod32)


Actualización lanzada 01 nov 2005 13:36 GMT


Comportamiento BATViruses

Detalles técnicos

Daños


Detalles técnicos


















El programa es un archivo de paquetes (archivo BAT).

Daños

%Windir%\setupset.bat

%Windir%\helpinit.vbs

%Windir%\regsys.js

%Windir%\SYSZAAcc.bat

%Windir%\WinEffHj.vbs

%Windir%\4ieny5iC

%Windir%\2HVjzBPf

El virus también crea los siguientes ficheros:

%Temp%\wVbcg8IS.wj — 64 bytes in size;

%Temp%\FqvC2WD.vbs — 436 bytes in size;

%Windir%\jKmmOCFG.js — 3, 322 bytes in size.




2. %Windir%\setupset.bat

3. %Windir%\helpinit.vbs

4. %Windir%\regsys.js

5. %Windir%\SYSZAAcc.bat

6. %Windir%\WinEffHj.vbs

7. %Temp%\wVbcg8IS.wj

8. %Temp%\FqvC2WD.vbs

%Windir%\jKmmOCFG.js

%Windir%\4ieny5iC

%Windir%\2HVjzBPf


III. Programas Troyanos (caballos de Troya)

Puertas traseras (backdoors)

Backdoor.Win32.Breplibot.b


Actualización lanzada 10 nov 2005 10:42 GMT


CME-ID CME-589

Comportamiento Backdoor

Detalles técnicos

Este programa puede ser usado para administrar a distancia el ordenador de la víctima usando los canales IRC.

El programa en sí mismo es un archivo PE EXE de 10240 bytes de Windows de un archivo 10240 comprimido usando UPX. Al ser descomprimido tiene un tamaño aproximado de 312 KB.

El gusano backdoor fue distribuido usando el correo masivo como tecnología.

Instalación

Una vez ejecutado, el backdoor se copia a sí mismo en el directorio del sistema de Windows como "$sys$drv.exe":

%System%\$sys$drv.exe

Esto posibilita que el programa malicioso sea ocultado usando la tecnología rootkit implementada por Sony. Sin embargo, el programa será ocultado solo si la protección DRM implementada por Sony en ciertos CD de audio está funcionando en el equipo de la victima.


Una vez ejecutado, el backdoor crea en el sistema el siguiente registro ejecutable :

[HKCU\WkbpsevaXImgvkwkbpXSmj`kswXGqvvajpRavwmkjXVqj]

"$sys$drv"="$sys$drv.exe"

También crea los siguientes identificadores únicos para señalar su presencia en el sistema.

"SonyEnabled"

"#$$sys$drv>.exe "

Después de hacer todo esto, el archivo ejecutable original se elimina.

Carga útil

El backdoor se conecta con los canales del IRC enumerados abajo para esperar órdenes:

152.7.24.186

24.210.44.45

35.10.203.93

67.171.67.190

68.101.14.76

Esto proporciona al hacker acceso completo al ordenador de la víctima, acceso a la información guardada en el mismo y permite descargar, ejecutar y eliminar archivos a distancia.

El programa es también capaz de evadir la detección del cortafuego (firewall) de Windows. Se agrega a sí mismo a la lista de programas permitidos, de modo que sus acciones no sean bloqueadas por el cortafuego (firewall).

Trojan-SMS.J2ME.Smarm.c

Detección agregada 01 feb 2008 13:31 GMT

Descripción agregada 08 feb 2010

Comportamiento Trojan

Detalles técnicos

Daños





Detalles técnicos

Este troyano infecta los teléfonos móviles de todas las marcas que tengan Java (J2ME). Intenta enviar mensajes de texto SMS desde los aparatos infectados a números de pago sin el conocimiento ni consentimiento del usuario.

El programa es una aplicación Java comprimida con JAR. El nombre del paquete comprimido puede variar. Tiene un tamaño de 1.649 a 270 bytes.

El comprimido contiene los siguientes archivos:

MANIFEST.MF

es un archivo de servicio que contiene información sobre la aplicación, incluyendo un prefijo para el SMS y los números de pago a los que se enviarán los SMS. Este archivo tiene un tamaño de 318-351 bytes.

Ico.png

es el icono de la aplicación (95-4.629 bytes de tamaño);

go.class

es un archivo malicioso que intenta enviar mensajes SMS (2.217 bytes de tamaño);

.Timestamp

(9 bytes de tamaño).

Daños

El troyano se propaga en sitios WAP camuflado como varios programas supuestamente útiles, como por ejemplo, un antivirus o un programa para abonar dinero a una cuenta telefónica gratuitamente. La aplicación se instala en el teléfono con varios nombres. Cuando se ejecuta, el programa malicioso procede a enviar un mensaje SMS con un texto determinado al número 3649. El SMS cuesta 10$ (unos 270 RUR). El programa no realiza ninguna otra actividad maliciosa.


1. Si el programa se instaló en un teléfono móvil regular, se lo puede eliminar usando herramientas estándar.

2. Si el programa se instaló en un smartphone, el usuario puede borrarlo usando herramientas estándar o Kaspersky Mobile Security con sus bases de datos antimalware actualizadas.

Trojan.JS.ExitW.b

Otras versiones: .a

Alias

Trojan.JS.ExitW.b (Kaspersky Lab) También conocido como:

JS/Wipe (NAI), JS.HTADropper (NAV), Troj/ObjectID-





A (Sophos), JS/RunScript.dr.gen* (RAV), JS_EXITW.A.DR (PCCIL), JSc/ExitW.B1 (H+BEDV), VBS/WSRunner.E (FPROT), VBS:Malware (AVAST), JS.Trojan.ExitW.B (BitDef7), JScr.ExitW.B1 (Clamav), JS/Trojan.ExitW.B (Panda), JS/ExitW.B (Nod32)


Comportamiento Trojan

Detalles técnicos

Daños


Detalles técnicos

Programa troyano. Es una secuencia de instrucciones en JavaScript. Está contenido en páginas WEB. Su tamaño es de 1.476 bytes.

Daños

El troyano, utilizando el objeto "ScriptletTypeLib" crea un archivo que se inicia junto con Windows:

%WinDir%\Start Menu\Programs\StartUp\winmem.hta

Este archivo contiene una instrucción que apaga Windows.


Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, sigua las siguientes instrucciones para eliminarlo:


2. Eliminar el archivo:

%WinDir%\Start Menu\Programs\StartUp\winmem.hta


Trojan-PSW.VBS.Half

Alias















Trojan-PSW.VBS.Half (Kaspersky Lab) También conocido como: Trojan.PSW.VBS.Half (Kaspersky Lab),

VBS/PWStealer (NAI), PWLsteal.Trojan (NAV), VBS/Half* (RAV), VBS_HALF.A (PCCIL), VBS/PWStealer.A (FPROT), VBS:Malware (AVAST), VBS.Trojan.PWstealer.C (BitDef7), Trojan Horse (Panda), VBS/PSW.Half (Nod32)

Descripción agregada 28 nov 2007

Comportamiento PSW-Trojan

Detalles técnicos

Daños


Detalles técnicos

Este troyano es un virus VBScript que roba contraseñas a los usuarios. .El tamaño del archivo es de 977 bytes. El troyano puede encontrarse en las páginas web y roba contraseñas de los sistemas Win9x .

Daños

Cuando se abre una página que contiene el código malicioso, el troyano analiza los directorios en la unidad de disco C:\ en busca de los archivos con extensión *.pwl. (Estos archivos son utilizados en los sistemas Win9x para almacenar las contraseñas de los usuarios).

Luego utiliza objetos ActiveXObject ―MSMAPI.MAPISession‖ para enviar las contraseñas al usuario remoto malicioso a la dirección onehalf***[email protected]. El ―Tema‖ tiene el siguiente mensaje:

"this is test for lame"

Y contiene el siguiente texto:

"hello my friend(c)onehalf***4:".


1. Elimine la pagina HTML que contiene el código malicioso.

2. Actualice la base de datos de su antivirus y lleve a cabo un análisis completo de su ordenador (descargue una versión de prueba de Kaspersky Anti-Virus)

Trojan-Clicker.Win32.VB.b

Otras versiones: .bg, .bw

















Alias

Trojan-Clicker.Win32.VB.b (Kaspersky Lab) También conocido como: TrojanClicker.Win32.VB.b (Kaspersky

Lab), Trojan Horse (NAV), Troj/Tclick-B (Sophos), TrojanClicker:Win32/VB.B (RAV), TROJ_CLICKERVB.B (PCCIL), TR/Clicker.VB.B (H+BEDV), Trojan.Clicker.VB.B (BitDef7), Trojan Horse (Panda), Win32/TrojanClicker.VB.B (Nod32)

Descripción agregada 03 ago 2007

Comportamiento TrojanClicker

Detalles técnicos

Daños


Detalles técnicos

Programa troyano creado para abrir páginas en la ventana de Internet Explorer sin que el usuario se dé cuenta.

El programa es una aplicación Windows (fichero PE EXE). Su tamaño es de 29.184 bytes. Está escrito en Visual Basic.

Instalación

Al ejecutarse, el troyano copia su cuerpo al siguiente directorio bajo el nombre "EXEC.exe‖:

%System%\VMM32\AUTOEXEC\EXEC.exe

Con el objetivo de iniciarse automáticamente cada vez que se inicie Windows, el troyano agrega un enlace a este fichero ejecutable en la llave de autoinicio del registro del sistema:


"AUTOEXEC" = "%System%\VMM32\AUTOEXEC\EXEC.exe hidden"

Daños

El troyano envía una solicitud al sitio:

http://www.angelfire.com/geek/bestjavascripts/v/***.rld















En esta página hay una dirección de las páginas que el troyano abrirá en la ventanas emergentes de Internet Explorer.

En el momento en que escribíamos esta descripción, en la página se encontraban enlaces a los siguientes sitios:

http://bestjavascripts.xug.net/****

http://www.skins4msn.web1000.com/****


Si su ordenador no contaba con la protecci³Rn de un antivirus y se contagi³R con la nueva versi³Rn de este programa nocivo, siga las siguientes instrucciones para eliminarlo:

Eliminar el archivo original del troyano (su ubicaci³Rn en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).

Eliminar los ficheros creados por el troyano:

%System%\VMM32\AUTOEXEC\EXEC.exe

Eliminar el siguiente parametro de la llave del registro:


"AUTOEXEC" = "%System%\VMM32\AUTOEXEC\EXEC.exe hidden"

Hacer un an³?lisis completo del ordenador usando Kaspersky Anti-Virus con las ³?ltimas actualizaciones de sus bases antivirus (Descargar versi³Rn de prueba).

Trojan-Downloader.JS.Agent.ex

Detección agregada 27 abr 2007 15:55 GMT

Actualización lanzada 27 abr 2007 17:56 GMT


Comportamiento TrojanDownloader

Detalles técnicos

Daños






Detalles técnicos

Programa troyano que, sin que el usuario se dé cuenta, descarga desde Internet otros programas y los ejecuta. El tamaño de los componentes del troyano puede ser de 7 a 19 kilobytes. Está escrito en JavaScript

Daños

Al ejecutarse, el troyano descarga un archivo de la siguiente dirección:

http://www.tankersite.com/1/*****/zerr.exe

En el momento de la creación de esta descripción, el enlace a la dirección mencionada no funcionaba.

El fichero descargado se guarda como:

C:\1.exe

y se lo inicia.





C:\1.exe


Trojan-Dropper.MSWord.Lafool.v

Detección agregada 31 oct 2006 07:22 GMT

Descripción agregada 02 nov 2006

Comportamiento TrojanDropper

Detalles técnicos



Daños


Detalles técnicos

Programa troyano, creado para instalar de forma disimulada otros programas troyanos en el sistema. Es un documento Microsoft Word que contiene un macros. El tamaño del documento Microsoft Word que hemos analizado es de 205.824 bytes.

Durante cada ejecución de Microsoft Word (AutoExec) y al abrir el documento en formato Microsoft Word (AutoOpen y Document_Open) se lanza la función del módulo principal del troyano.

Daños

El troyano descifra las líneas del texto de la función, para después guardar el resultado en un fichero en la raíz del disco C: bajo el nombre de "LS060E5.EXE":

C:\LS060E5.eXE (tamaño 27 648 bytes)

Kaspersky Anti-Virus detecta este archivo como Trojan-PSW.Win32.LdPinch.bbg.

Después se ejecuta el archivo.


1. Comprobar la presencia en el disco C: del fichero "LS060E5.eXE" y eliminarlo:

C:\LS060E5.eXE

2. Cerrar todas los programas de Microsoft Office.

3. Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (>descargar versión de prueba).

Trojan-Proxy.Win32.Delf.ab

Detección agregada 03 ago 2005 21:35 GMT

Actualización lanzada 03 ago 2005 23:06 GMT





Comportamiento TrojanProxy

Detalles técnicos

Daños


Detalles técnicos

Programa troyano que ejecuta un servidor proxy en el ordenador del usuario. Es un programa para Windows (fichero PE-EXE). Su tamaño es de 239.616 bytes.

Instalación

Después de iniciarse, el programa copia su fichero ejecutable al catálogo raíz de Windows:

%WinDir%\services.exe

Con el objetivo de iniciarse automáticamente cada vez que se inicie Windows, el troyano agrega un enlace a su fichero ejecutable en la llave de autoinicio del registro del sistema:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Shell = "Explorer.exe %WinDir%\services.exe"

Daños

El troyano ejecuta en el ordenador del usuario un servidor proxy usando un puerto TCP elegido al azar.

Después, se registra en el sitio del delincuente y le comunica el número del puerto abierto. A continuación, el

ordenador del usuario puede ser usado por los delincuentes para disimular su trabajo en la red.





3. Modificar el valor del parámetro del registro con el siguiente valor:




4. [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Shell = "Explorer.exe"


%WinDir%\services.exe


Trojan-Spy.HTML.Bankfraud.qe

Detección agregada 21 sep 2006 10:19 GMT

Actualización lanzada 21 sep 2006 13:46 GMT

Descripción agregada 06 oct 2006

Comportamiento TrojanSpy

Detalles técnicos

Programa troyano que utiliza la tecnología "spoofing". Realizada en forma de página HTML falsificada. Roba la información confidencial de los clientes del Bank of America.

Se envía por correo electrónico aparentando ser un mensaje importante:


El mensaje contiene un enlace que aprovecha la vulnerabilidad Frame Spoof en Internet Explorer.

La vulnerabilidad Frame Spoof (MS04-004) existen en las versiones 5.x y 6.x de Microsoft Internet Explorer. La compañía Microsoft ha publicado un documento especial, dónde se da una definición de la vulnerabilidad y recomendaciones para reconocer este tipo de enlaces falsificados.

Al llegar al sitio web falsificado, los usuarios escriben los datos de sus cuentas, que luego son enviados a los delincuentes, que pueden obtener acceso ilimitado a la administración de la cuenta del usuario.

IV. Otro programas maliciosos

DoS.Linux.Front

Alias

DoS.Linux.Front (Kaspersky Lab) También conocido como:

Perl/Front (NAI), Perl.Frontp (NAV), Troj/Front (Sophos), PERL/Front* (RAV), PERL_LFRONT.A (PCCIL), Unix/Front.A (FPROT), UNIX:Malware (AVAST), PERL.Front.A (BitDef7), DoS Program (Panda), Linux/DoS.Front.A (Nod32)

http://support.microsoft.com/kb/834489/es












Descripción agregada 15 may 2007

Comportamiento DoS

Detalles técnicos

Daños


Detalles técnicos

Programa nocivo destinado a realizar ataques DoS (Denial of Service) contra un servidor remoto. Es una secuencia de instrucciones nocivas escrita en Perl. Su tamaño es de 988 bytes.

Daños

Este programa realiza ataques DoS contra un ordenador remoto, cuya dirección la indica el delincuente como un parámetro de entrada al iniciar el utilitario.

Como resultado del funcionamiento del programa, en el servidor atacado pueden surgir problemas con los servicios de red.



1. Eliminar el archivo original del programa nocivo (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).


DoS.Perl.Httux

Alias

DoS.Perl.Httux (Kaspersky Lab) También conocido como:

Perl/Exploit.gen (NAI), Hacktool.DoS (NAV), Troj/ByteFus-A (Sophos), DoS:PERL/Httux.A* (RAV), Unix/Tuxhttpd@expl (FPROT), UNIX:Malware (AVAST), DoS.Perl.Httux (Clamav), DoS Program (Panda), Perl/DoS.Httux (Nod32)
















Comportamiento DoS

Detalles técnicos

Daños


Detalles técnicos

Programa nocivo destinado a realizar ataques DoS (Denial of Service) contra un servidor remoto. Es una secuencia de instrucciones nocivas escrita en Perl. Su tamaño es de 928 bytes.

Daños

Aprovechando la vulnerabilidad de rebalsamiento del buffer durante el procesamiento de una solicitud incorrecta al servidor web TUX, el programa nocivo ejecuta ataques DoS contra un ordenador remoto. La dirección del ordenador a ser atacado la indica el delincuente al iniciar el programa.

Como resultado del funcionamiento del programa, en el servidor atacado pueden surgir problemas con los servicios de red.





Exploit.PHP.Inject.f

Detección agregada 15 jun 2007 14:14 GMT

Actualización lanzada 15 jun 2007 15:36 GMT






Comportamiento Exploit

Detalles técnicos

Daños


Detalles técnicos

Exploit destinado a robar información confidencial de las bases de datos de las aplicaciones Web. Es una secuencia de instrucciones PHP (fichero PHP). Su tamaño es de 1610 bytes. No está empaquetado de ninguna forma. Está escrito en PHP.

Daños

El programa nocivo utiliza una vulnerabilidad que permite implementar una solicitud SQL como parámetro de aplicación Web.

Esta modificación de la secuencia de instrucciones efectúa la solicitud en la base de datos del sitio especializado en transferencias de dinero:

http://www.onlinefx.co.uk

El objetivo del delincuente es recibir información sobre las transacciones de los clientes. Los datos obtenidos se guardan en los siguientes ficheros, dependiendo de su modificación:

trans1.txt

orders.txt





Email-Flooder.Win32.FriendGreetings





Alias

Email-Flooder.Win32.FriendGreetings (Kaspersky Lab) También conocido como:

Flooder.MailSpam.FriendGreetings (Kaspersky Lab), W32.Friendgreet.worm (NAV), I-Worm/Siyam (AVG)


Comportamiento Flooder

Detalles técnicos

Advert.FriendGreetings es una tarjeta postal de correo electrónico que una vez instalada, a diferencia de

otros programas similares, envía correos-e a todas las direcciones encontradas en la libreta de direcciones de Microsoft del ordenador de la víctima. Esta característica desagradable hizo que algunas compañías antivirus clasifiquen este programa como "gusano".

Si un usuario hace clic en el vínculo que encontró en el correo electrónico el proceso de instalación comienza.

Durante la instalación, el programa exhibe un certificado de autenticidad. Si el usuario acepta la firma electrónica, tiene la opción de mirar el acuerdo de licencia (EULA). Si un usuario cualquiera discrepa con el acuerdo de licencia o no confía en el certificado, la instalación del programa termina.

Certificado de autenticidad: verifying "safe content"!





Cuando un usuario acepta el acuerdo de licencia (haciendo clic en el recuadro ―Yes‖) el programa está instalado en su ordenador y ―Advert.FriendGreetings" procede a enviar mensajes a todas las direcciones que encuentra en la libreta de direcciones de Microsoft Outlook.

Acuerdo de

licencia

Los mensajes de correo muestran lo siguiente:

Subject: %recipient% you have an E-Card from %sender%.

Message:

Greetings!

%sender% has sent you an E-Card -- a virtual postcard from FriendGreetings.com. You can pickup your E-Card at the FriendGreetings.com by clicking on the link below.

http:/ /www.friendgreetings.com/pickup/pickup.aspx?

Message: ------------------------------------------------------------ %recipient%M I sent you a greeting card. Please pick it up. %sender% ------------------------------------------------------------

When this software installs it adds the following registry keys:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"PMedia"="C:\Program Files\Common Files\Media\winsrvc.exe"

Nuker.Win32.Nonuker

Alias

Nuker.Win32.Nonuker (Kaspersky Lab) También conocido como: Trojan

Horse (NAV), Trojan.Retro (DrWeb), Troj/WinNuke-C (Sophos), Trojan:Win32/Nuker.E (RAV), TROJ_NUKER.E (PCCIL), Win95:Nuke-C (AVAST), Trojan.Win32.Nuker.E (BitDef7), Nuker.Nonuke (Clamav), Trj/W32.Nuker.C (Panda), Win32/Nuker.e (Nod32)

Descripción agregada 24 oct 2006

Comportamiento Nuker

Detalles técnicos

Daños


Detalles técnicos

Es un programa que "escucha" el puerto 139. Es una aplicación para Windows (Archivo PE EXE). Tiene un tamaño de 238.592 bytes. Está escrito en Borland Delphi.

Daños

El programa se usa para la depuración o investigación de los programas de red que funcionan en el puerto 139.

Tiene la siguiente interfaz gráfica:

El programa tiene tres elementos gráficos del tipo CommandButton:

"Activate" – inicia la "audición del puerto 139

"About" – visualiza el siguiente mensaje:















http://www.viruslist.com/sp/images/pictures/virus/21769099.png

- "Deactivate" – finaliza la "audición del puerto 139. El programa pasa al régimen de espera.


1. Eliminar el archivo original del troyano (su ubicación en el ordenador infectado depende del modo en que el troyano haya penetrado en el equipo).

2. 2. Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).

V. Non-malware

Programas afines a los programas maliciosos

Esta categoría es difícil de definir, ya que incluye cualquier programa legal que los hackers pueden usar para penetrar a un ordenador. Es imposible predecir qué programas entrarán en esta categoría, ya que todo depende del ingenio que demuestre la comunidad informática clandestina. Una vez que un hacker identifica un programa que puede serle útil, puede cargarlo sin el conocimiento o consentimiento del usuario a su equipo y tomar el control del mismo, sin ser detectado por los antivirus u otro software de seguridad. Si se usa hábilmente un programa legal para fines ilegales, puede ser en extremo difícil detectarlo.

Marcadores (dialers)

Descargadores (downloaders)

Servidores FTP

Servidores proxy

Servidores Telnet

Servidores Web

Clientes de IRC

Herramientas de recuperación de contraseñas (PSWTool)

Herramientas de administración remota (RemoteAdmin)

Herramientas

Crackers

Bromas pesadas y mensajes falsos

Marcadores (dialers)

Estos programas no causan daño al equipo en que son instalados. Sin embargo, si no son detectados y eliminados, pueden causar serias consecuencias financieras. Los propietarios de sitios web usan estos programas para hacer que los equipos infectados efectúen llamadas a sitios (teléfonos) de pago. Con gran


http://www.viruslist.com/sp/virusesdescribed?chapter=152540533#dial

http://www.viruslist.com/sp/virusesdescribed?chapter=152540533#down

http://www.viruslist.com/sp/virusesdescribed?chapter=152540533#ftp

http://www.viruslist.com/sp/virusesdescribed?chapter=152540533#proxy

http://www.viruslist.com/sp/virusesdescribed?chapter=152540533#telnet

http://www.viruslist.com/sp/virusesdescribed?chapter=152540533#web

http://www.viruslist.com/sp/virusesdescribed?chapter=152540533#irc

http://www.viruslist.com/sp/virusesdescribed?chapter=152540533#pswtool

http://www.viruslist.com/sp/virusesdescribed?chapter=152540533#ra

http://www.viruslist.com/sp/virusesdescribed?chapter=152540533#tools

http://www.viruslist.com/sp/virusesdescribed?chapter=152540533#crackers

http://www.viruslist.com/sp/virusesdescribed?chapter=152540533#jokes

frecuencia son sitios pornográficos. Aunque no se causan daños al ordenador, una gran factura de teléfono hace que estos programas no sean del agrado de los propietarios de ordenadores y redes.

Los marcadores son de dos tipos: Marcadores troyanos y marcadores maliciosos. Los marcadores troyanos se instalan sin el conocimiento ni el consentimiento del usuario y hacen llamadas a sitios de pago de forma automática. Los marcadores peligrosos, por otra parte, notifican al usuario sobre las llamadas que se están haciendo y su coste. Estos marcadores pueden ser desinstalados usando procedimientos estándard. Se puede clasificar como malicioso a este segundo grupo, ya que la instalación inicial ocurre sin el consentimiento del usuario. Sin embargo, dan al usuario la posibilidad de decidir las acciones a realizar.

Descargadores (downloaders)

Incluso los gestores de descarga (downloaders) pueden ser peligrosos, porque por lo general se programan para funcionar en segundo plano, sin la intervención directa del usuario. Para un hacker es fácil sustituir los enlaces para dirigir al programa hacia recursos infectados, haciendo que los programas maliciosos sean descargados al equipo víctima sin que el usuario se dé cuenta.

Servidores FTP

Son utilidades que se pueden usar para obtener acceso a archivos remotos. Una vez que un hacker las instala en un sistema, hace posible que los usuarios remotos descarguen cualquier archivo del equipo víctima y monitoreen las actividades en el ordenador infectado.

Servidores proxy

Estas utilidades en un principio se diseñaron para proteger las redes internas, separando las direcciones internas de los usuarios externos. No obstante, los hackers las usan para conectarse a Internet de forma anónima. La dirección real del hacker se sustituye por la dirección del servidor proxy.

Servidores Telnet

Estas utilidades se diseñaron para proporcionar acceso remoto a los recursos ubicados en otros equipos. Los hackers las usan para obtener acceso total a los equipos víctimas.

Servidores Web

Los servidores web proporcionan acceso a las páginas web ubicadas en un área determinada del sistema de archivos. Los hackers las usan para obtener acceso irrestricto al sistema de archivos del equipo de la víctima.

Clientes de IRC

Estas utilidades proporcionan acceso a los canales de IRC. Muchos clientes de IRC, en particular mIRC, incorporan potentes lenguajes de script que automatizan al cliente IRC. Esta prestación se puede explotar para escribir troyanos y gusanos de IRC. Mientras instalan un troyano IRC en un equipo víctima, los hackers con frecuencia también instalan un cliente IRC.

Monitor

Son utilidades legales que monitorean las actividades del ordenador y del usuario. En el mercado existen versiones comerciales de este tipo de utilidad. Normalmente, la información de las actividades se guarda en el disco duro o se envía a las direcciones de correo electrónico especificadas. Los programas de monitoreo se

diferencian de los troyanos espías sólo en que éstos no disimulan su presencia en el sistema y es posible desinstalarlos.

Herramientas de recuperación de contraseñas (PSWTool)

Sirven para recuperar contraseñas perdidas u olvidadas. Por lo general, muestran información sobre la contraseña en la pantalla, o la guardan en el disco duro. Cuando se realiza un ataque, esta información es enviada al atacante remoto.

Herramientas de administración remota (RemoteAdmin)

Estas herramientas de administración remota proporcionan a los hackers un control completo sobre el equipo víctima.

Herramientas

Esta categoría incluye otros programas gratuitos o comerciales que con frecuencia se usan con fines maliciosos.

Crackers

Estos programas no son virus ni troyanos, sino herramientas que usan los hackers para "piratear" diferentes tipos de software. Por lo general no representan peligro para los programas instalados y su función se reduce a eliminar la protección contra copia o introducir una clave "pirateada" en los programas.

Bromas pesadas y mensajes falsos (Hoaxes)

Este grupo incluye programas que no causan ningún daño directo a los equipos que infectan. No obstante, muestran advertencias falsas sobre supuestos daños ocurridos o por ocurrir. Pueden ser mensajes advirtiendo a los usuarios de que los discos se han formateado, que se ha encontrado un virus o se han detectado síntomas de infección. Las posibilidades son limitadas sólo por el sentido del humor del autor del virus.

http://www.viruslist.com/sp/virusesdescribed?chapter=152540555

PROGRAMAS MALICIOSOS

Documents

Transcript of PROGRAMAS MALICIOSOS