PROGRAMAS MALICIOSOS
PROGRAMAS MALICIOSOS I. Gusanos de red a. Gusanos de correo electrónico 1. Email-Worm.JS.CoolNow Alias Email-Worm.JS.C
Views 320 Downloads 146 File size 1MB
Recommend stories
- Author / Uploaded
- Wilmercito Najarro
- Categories
- Archivo de computadora
- Microsoft Windows
- Correo electrónico
- Microsoft
- Áreas de la informática
Citation preview
PROGRAMAS MALICIOSOS I. Gusanos de red a. Gusanos de correo electrónico 1. Email-Worm.JS.CoolNow
Alias
Email-Worm.JS.CoolNow (Kaspersky Lab) También conocido como: I-Worm.CoolNow (Kaspersky Lab), JS/Exploit-Messenger.gen (NAI), JS.Menger.Worm (NAV), JS/CoolnowB (Sophos), JS/Coolnow* (RAV), JS_MENGER.GEN (PCCIL), JSc/CoolNow.4 (H+BEDV), JS/Coolnow.A @mm (FPROT), VBS:CoolNow (AVAST), JS/Coolnow.A (AVG), JS.Coolnow.A (BitDef7), JS/Coolnow (Pa nda), JS/Coolnow.A (Nod32)
Descripción agregada 10 jul 2006
Comportamiento
I-Worm
Detalles técnicos
Éste virus es un ―gusano‖ que se propaga por Internet usando MSN Messenger (instant messaging program). El gusano en sí mismo es un JS-script (Java Script) situada en un archivo HTML. Envía los mensajes que contienen una dirección URL hacia una página Web infectada. Cuando el gusano es ejecutado, obtiene la lista de contactos del MSN Messenger, enviando a todos sus destinatarios el siguiente mensaje: "URGENT - Go to http://www.rjdesigns.co.uk/cool Now" Esta dirección apunta hacia un archivo HTML, que contiene el cuerpo del ―gusano‖. Después de enviar los mensajes infectados por correo electrónico, el gusano utiliza un script ubicado en el mismo sitio para enviar un mensaje de correo-e a: "[email protected]‖. Este mensaje contiene la dirección IP del ordenador infectado, y remite al usuario a la siguiente dirección: "http://www.rjdesigns.co.uk/cool/go.htm" Hecho esto, el gusano no tiene ninguna carga útil.
2. Email-Worm.JS.Gigger
Alias
Email-Worm.JS.Gigger (Kaspersky Lab) También conocido como: I-Worm.Gigger (Kaspersky Lab), JS/Gigger.a@MM (NAI), JS.Gigger.A@mm (NAV), JS.Gigger (DrWeb), JS/Gigger.A@mm* (RAV), JS_GI GGER.A (PCCIL), VBS:Gigger (AVAST), JS.Gigger.A (BitDef7)
Descripción agregada 10 jul 2006
Comportamiento
I-Worm
Detalles técnicos
Éste es un gusano peligroso. Se reproduce utilizando Outlook, Outlook Express y mIRC. Este gusano se escribe en JavaScript y en Visual Basic Script (VBS). Contiene secuencias destructivas capaces de formatear el disco duro del usuario después de reiniciarse, puede suprimir todos los archivos en todos los discos disponibles.
Instalación Mientras el gusano se instala en el sistema, inserta varios archivos: C:\Bla.hta C:\B.htm C:\Windows\Samples\Wsh\Charts.js C:\Windows\Help\Mmsn_offline.htm El gusano busca el mensaje ―already infected‖ en el registro, si no existe, el gusano lo crea. La presencia de la infección se muestra en el siguiente registro: HKEY_CURRENT_USER\Software\thegrave\badusers\v2.0 El gusano busca todos los discos conectados al network copiándose en ellos en la siguiente ubicación: Windows\Start Menu\Programs\StartUp\Msoe.hta
Propagación por correo electrónico El gusano usa Outlook y Outlook Express para extenderse mandando mensajes infectados por correo electrónico. El mensaje infectado tiene las siguientes características: Subject: Outlook Express Update Body: MSNSoftware Co. Attachment: mmsn_offline.htm
El gusano también envía un mensaje que contiene las direcciones de correo-e de sus destinatarios a una dirección de correo electrónico que parece pertenecer al autor del gusano.
Propagación por IRC El gusano descubre la carpeta de instalación de la aplicación mIRC de un usuario, creando allí el archivo "script.ini". Después de esto, el gusano se re-envía a sí mismo a cada uno de los usuarios conectados en el mismo canal del IRC que el cliente infectado. Nombre del archivo enviado a través del mIRC: "mmsn_offline.htm‖
Contenido El gusano agrega la línea siguiente en el archivo Autoexec.bat: ECHO y|format c: El resultado se verá al reiniciarse la unidad C: formateada En los días 1ro, 5to, 10mo, 15vo o 20vo del mes, el gusano borra todos los archivos de todos los discos disponibles.
3. Email-Worm.JS.Nevezed
Alias
Email-Worm.JS.Nevezed (Kaspersky Lab) También conocido como: I-Worm.Nevezed (Kaspersky Lab), JS/Nevezed@MM (NAI), JS.Reven@mm (NAV), JS/GorumA (Sophos), JS/Reven.gen* (RAV), JS_VEREN.A (PCCIL), JS/Neversaw (H+BEDV), JS/Never.A@mm (F PROT), VBS:GenericMail (AVAST), JS/Never (AVG), JS.Nevezed.A@mm (BitDef7), Worm.Nevezed (Clamav), Worm Generic (Panda)
Descripción agregada 10 jul 2006
Comportamiento
I-Worm
Detalles técnicos
Nevezed es un virus que se propaga por Microsoft Outlook. Este gusano es un archivo JavaScript de 4KB de tamaño, escrito en Java.
Instalación Durante la instalación, el gusano se copia dentro del sistema de Windows en el directorio de arranque (StartUp) con el nombre "StartUp.js" y en el directorio de Windows System con el nombre de "CmdWsh32.js‖. Estos se insertan más tarde en el registro del sistema como un archivo java-class. El gusano también crea una copia de seguridad de sí mismo en el directorio raíz de otros discos.
Propagación por correo electrónico Para enviar mensajes infectados el gusano utiliza el MS Outlook. Manda correos a todas las direcciones que encontró en la libreta de direcciones de la víctima. Los mensajes infectados enviados por el gusano tienen varios títulos en Asunto del mensaje. Algunos podrían ser: Hello name Hey name Fwd: Hey You! Fwd: Check this! Fwd: Just Look Fwd: Take a look! Fwd: Loop at this! Fwd: Check this out! Fwd: It's Free! Fwd: Look! Fwd: Free Mp3s! Fwd: Here you go! Fwd: Have a look! Look name! Fwd: Read This! Texto del cuerpo de mensaje: Hello! Check out this great list of mp3 sites that I included in the attachments! I can get any Mp3 file that I want from these sites, and its free! And please don't be greedy! forward this email to all the people that you consider friends, and Let them benefit from these Mp3 sites aswell! Enjoy ! Los mensajes infectados contienen alguno de los siguientes archivos adjuntos: Free_Mp3s.js Fwd_Mp3s.js Mp3_Sites.js Mp3_Web.js Mp3_List.js Mp3_Pages.js Web_Mp3s.js Mp3-Sites.js Fwd-Mp3s.js Mp3-Fwd.js Fwd-Sites.js
4. Email-Worm.Win32.Chet.a
Alias
Email-Worm.Win32.Chet.a (Kaspersky Lab) También conocido como: I-Worm.Chet.a (Kaspersky Lab), W32/Chet.a@MM (NAI), W32.Chet@mm (NAV), Win32.HLLM.Otchet.26628 (DrWeb), W32/ChetA (Sophos), Win32/Chet.A@mm (RAV), WORM_CHET.A (PCCIL), Worm/Chet (H+BEDV), W32/Chet@m m (FPROT), Win32:Chet (AVAST), IWorm/Chet.A (AVG), Win32.Chet.A@mm (BitDef7), W32/Chet@MM (Panda), Win32/Chet.A (Nod32)
Descripción agregada 10 jul 2006
Comportamiento
I-Worm
Detalles técnicos
Éste gusano es un virus que se difunde por Internet mediante un archivo adjunto a los correo electrónicos infectados. Es un archivo de Windows PE EXE de 27Kb de la tamaño, escrito en Microsoft Visual C++. Los mensajes Infectados tienen los siguientes campos: From: [email protected] To: You Subject: All people!! Attach: 11september.exe Body:
El gusano se activa en caso de que un usuario haga clic en el archivo adjunto. Después el gusano se instala en el sistema y ejecuta su secuencia propagándose.
Instalación Se copia en el directorio del sistema de Windows con el nombre "synchost1.exe" y coloca ese archivo en el registro del sistema de autoarranque: HKCU\Software\Microsoft\Windows\CurrentVersion\Run ICQ1 = %SystemDir%\synchost1.exe El archivo original entonces es eliminado.
Difusión Para conseguir el correo de la víctima, el gusano se conecta con el MS Outlook y envía mensajes a todas las direcciones encontrada en la libreta de direcciones del Outlook. También consigue archivos WAB y lee los correos de la victima desde allí. Para enviar mensajes infectados el gusano utiliza una conexión directa "mail.ru" al servidor SMTP.
Otro El gusano también envía dos mensajes de notificación a este ―master". La primera notificación es enviada antes de propagarse (véase arriba), el segundo mensaje se envía enseguida después de ejecutarse la rutina. Estos dos mensajes se envían a tres direcciones: [email protected] [email protected] [email protected] Tienen los siguientes Asunto del mensaje: message1: Otchet from user message2: Otchet2 from user El cuerpo de mensaje contiene la lista de correos de la víctima y el nombre completo del archivo ejecutable del gusano.
5. Email-Worm.Win32.Warezov.nf Otras versiones: .at, .bw, .do, .et, .jv, .lb, .ms, .nv, .on, .op, .qa
Detección agregada
19 abr 2007 04:17 GMT
Actualización lanzada 19 abr 2007 04:40 GMT
Descripción agregada 19 abr 2007
Comportamiento
I-Worm
Plataforma
Win32
Detalles técnicos Daños Instrucciones de eliminación
Detalles técnicos
Es un virus-gusano que se propaga por Internet en los datos adjuntos de los mensajes de correo infectados. En los datos adjuntos el gusano no pone su copia, sino un componente que puede cargar de Internet otros programas nocivos. Los mensajes infectados se envían a todas las direcciones de correo electrónico encontradas en el ordenador. El gusano es una aplicación Windows (archivo PE EXE). Está comprimido con Upack. El tamaño de los componentes del gusano puede ser de 20 a 135 kilobytes.
Instalación Durante su inicio, el gusano muestra el siguiente texto en la pantalla:
Al ejecutarse, el virus copia su archivo ejecutable al catálogo del sistema de Windows bajo el nombre:
%System%\hotpmsta.exe Y crea los siguientes archivos:
%System%\hotpmsta.dll %System%\hotpmsta.dat Además, el troyano crea la siguiente llave en el registro del sistema:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hotpmsta] "DllName" = "%System%\hotpmsta.dll" "Startup" = "WlxStartupEvent" "Shutdown" = "WlxShutdownEvent" "Impersonate" = dword:00000000 "Asynchronous" = dword:00000000
Propagación por correo electrónico Analiza las libretas de direcciones de Microsoft Windows buscando las direcciones de las víctimas. Para enviar los mensajes infectados, el gusano usa su propia biblioteca SMTP. Ejemplo de carta infectada:
En los datos adjuntos el gusano no pone su copia, sino un componente que puede cargar de Internet otros programas nocivos.
Daños
Acciones del módulo principal del gusano Termina los procesos, detiene y elimina los servicios de los programas antivirus y los cortafuegos personales. El fichero ejecutable principal del gusano descarga de los sitios de los delincuentes diferentes programas nocivos y los instala en el sistema del usuario.
Acciones del componente enviado por correo Este componente lo envía el módulo principal del gusano. Su función es descargar de Internet otros ficheros sin que el usuario se dé cuenta. Descarga un archivo de la siguiente dirección:
http://linktunhdesa.com/***32.exe En el momento en que escribíamos esta descripción, en la dirección indicada se encontraba la última versión del fichero ejecutable del gusano. El fichero descargado se guarda en el directorio temporal de Windows bajo un nombre también temporal y se lo ejecuta.
Instrucciones de eliminación
Detección. El procedimiento de detección de esta versión del gusano ha sido publicado en una actualización urgente de la base de datos de Kaspersky Anti-Virus. Si la defensa proactiva de Kaspersky Anti-Virus 6.0 está habilitada, es capaz de detectar este gusano y evitar sus acciones destructivas sin necesidad de las actualizaciones de la base antivirus. Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, sigua las siguientes instrucciones para eliminarlo: 1.
Abrir el Administrador de Tareas y terminar el proceso original del gusano.
2.
Eliminar el archivo original de la puerta trasera (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
3.
Eliminar manualmente los siguientes ficheros del catálogo del sistema de Windows:
4. %System%\hotpmsta.exe 5. %System%\hotpmsta.dll %System%\hotpmsta.dat 6.
Eliminar la llave del registro:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hotpmsta] 7.
Eliminar todas las cartas infectadas de todos los directorios de correo.
8.
Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
6. Email-Worm.Win32.NetSky.aa Otras versiones: .b, .q, .t, .x, .y
Alias
Email-Worm.Win32.NetSky.aa (Kaspersky Lab) También conocido como: W32/Netsky.z@MM (NAI), W32.Netsky.Z@mm (NAV), Win32.HLLM.Netsky.22016 (DrWeb), W32/NetskyAE (Sophos), Win32/Netsky.Z@mm (RAV), WORM_NETSKY.Z (PCCIL), Worm/NetSky.AA (H+BEDV), W32/Netsky.AK@mm (FPROT), IWorm/Netsky.Z (AVG), Win32.Netsky.AA@mm (BitDef7), Worm.SomeFool.AA2 (Clamav), W32/Netsky.Z.worm (Panda), Win32/Netsky.Z (Nod32)
Detección agregada
03 dic 2004
Descripción agregada 07 jul 2006
Comportamiento
I-Worm
Detalles técnicos
Este gusano se propaga vía Internet como archivo adjunto a los mensajes de correo electrónico infectados.
Posee una función de ―puerta trasera‖ (backdoor), y es capaz de conducir ataques de Denegación de Servicios (DoS) contra sitios de Internet. El gusano en sí mismo es un archivo PE EXE de aproximadamente 20KB, comprimido usando UPX.
Instalación El gusano se copia a sí mismo en el directorio de Windows bajo el nombre de Jammer2nd.exe, inscribe el siguiente archivo en el registro del sistema como archivo auto-ejecutable:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Jammer2nd"="%windir%\jammer2nd.exe" También crea los archivos PK_ZIP_ALG.LOG y PK_ZIP.LOG en el directorio de Windows. Estos archivos son copias del gusano en formato UUE y en un archivo ZIP. El gusano crea el mutex (S)(k)(y)(N)(e)(t) para señalar su presencia en el sistema.
Propagación por correo electrónico El gusano busca archivos con las siguientes extensiones en todos los discos accesibles de la red: :
adb
mbx
rtf
asp
mdx
sht
cfg
mht
shtm
cgi
mmf
stm
dbx
msg
tbb
dhtm
nch
txt
doc
ods
uin
eml
oft
vbs
htm
php
wab
html
pl
wsh
jsp
ppt
xls
recolecta las direcciones de correo electrónico, enviando una copia de sí mismo a todas las direcciones encontradas. El gusano utiliza su propia biblioteca SMTP para enviar mensajes, y procura establecer una conexión al servidor que recibe los mensajes infectados.
Características de los mensajes infectados. Los archivos infectados se generan al azar de la siguiente manera:
Dirección del remitente. Es elegida al azar de las direcciones que encontró en la máquina de la víctima.
Encabezamiento del mensaje (elegido al azar de la lista de abajo) Hello Hi Important Important bill! Important data! Important details! Important document! Important informations! Important notice! Important textfile! Important! Information Information
Archivo adjunto (elegido al azar de la lista de abajo) Bill.zip Data.zip Details.zip Important.zip Informations.zip Notice.zip Part-2.zip Textfile.zip Los archivos adjuntos tendrán un nombre de la lista de abajo
Bill.txt.exe Data.txt.exe Details.txt.exe Important.txt.exe Informations.txt.exe Notice.txt.exe Part-2.txt.exe Textfile.txt.exe
Otros El virus abre el puerto 665 del TCP en la máquina de la víctima para recibir archivos al azar y ejecutarlos. Dependiendo de los ajustes del reloj del sistema, el gusano puede conducir ataques de Denegación de Servicio (DoS) contra los siguientes sitios
www.educa.ch www.medinfo.ufl.edu www.nibis.de
7. Email-Worm.Win32.NetSky.q Otras versiones: .aa, .b, .t, .x, .y
Alias
Email-Worm.Win32.NetSky.q (Kaspersky Lab) También conocido como: I-Worm.NetSky.q (Kaspersky Lab), W32/Netsky.ad@MM (NAI), W32.Netsky.P@mm (NAV), Win32.HLLM.Netsky.based (DrWeb), W32/Netsky P (Sophos), Win32/Netsky.P@mm (RAV), WORM_NETSKY.P (PCCIL), Worm/NetSky.P.2 (H+BEDV), W 32/Netsky.P@mm (FPROT), Win32:Netsky-P (AVAST), IWorm/Netsky.Q (AVG), Win32.Netsky.P@mm (BitDef7), Worm.SomeFool.Pdll (Clamav), W32/Netsky.P.worm (Panda), Win32/Netsky.Q (Nod32)
Descripción agregada 30 jun 2006
Comportamiento
I-Worm
Detalles técnicos
Este gusano se propaga a través de Internet como un archivo adjunto a los mensajes infectados. También puede propagarse a traves de redes P2P y directorios http y ftp accesibles. El componente principal del gusano es un archivo PE EXE de aproximadamente 29KB. El gusano se empaqueta usando FSG; el archivo sin empaquetar es de aproximadamente 40KB de tamaño.
Instalación El gusano se copia al directorio de Windows bajo el nombre fvprotect.exe y registra este archivo en los códigos de registrosla sección de autoejecución del sistema:
[ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Norton Antivirus AV" = %windir\fvprotect.exe El gusano también crea un archivo llamado userconfig9x.dll el el directorio de Windows, y otros archivos con los siguientes nombres:
zipped.tmp base64.tmp zip1.tmp zip2.tmp zip3.tmp Estos archivos son copias del gusano en formato UEE y archivos ZIP que contienen copias del gusano. Los archivos dentro del archivo ZIP tendrán nombres elegidos de la siguiente lista:
document.txt.exe data.rtf.scr details.txt.pif El gusano crea un mutex (candado), ""_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_", para señalar su presencia en el sistema.
Propagación por correo-ecorreo electrónico El gusano busca archivos con cualquiera de las siguientes extensiones:
.eml .txt .php
.asp .wab .doc .vbs .rtf .uin .shtm .cgi .dhtm .pl .htm .html .adb .tbb .dbx .sht .oft .msg .jsp .wsh .xml y envía copias de sí mismo a las direcciones de correo electrónico recolectadas de estos archivos. El gusano usa su propia biblioteca SMPT para enviar mensajes. El gusano también intenta establecer una conexión directa con el servidor del receptor destinatario del mensaje.
Mensajes Infectados: Los mensajes infectados contienen combinaciones al azar de las opciones listadas debajo:
Dirección del emisor: Elegida al azar de aquellas recolectadas por el equipo infectado.
Asunto del mensaje: Re: Hi Re: Hello Re: Encrypted Mail Re: Extended Mail Re: Status Re: Notify Re: SMTP Server Re: Mail Server Re: Delivery Server Re: Request Re: Bad Request Re: Failure Re: Thank you for delivery Re: Test Re: Administration Re: Message Error Re: Error Re: Extended Mail System Re: Secure SMTP Message Re: Protected Mail Request Re: Protected Mail System Re: Protected Mail Delivery Re: Secure delivery Re: Delivery Protection Re: Mail Authentification Re: List Re: Question Re: Proof of concept Re: Developement
Re: Message Re: Error in document Re: Free porn Re: Sex pictures Re: Submit a Virus Sample Re: Virus Sample Re: Old times Re: Old photos Re: Sample Re: Its me Re: Is that your document? Re: Approved document Re: Your document Protected Mail System Mail Authentication Is that your password? Private document Stolen document Mail Account Administrator Illegal Website Internet Provider Abuse Thank you! Congratulations! Postcard Your day Mail Delivery Error Shocking document You cannot do that!
hi hello Fwd: Warning again Notice again Spamed? Spam 0i09u5rug08r89589gjrg Re: A!p$ghsa Important m$6h?3p Do you? Does it matter? News Information I love you! I cannot forget you! here your my thanks! approved corrected patched improved important read it immediately o una lista de caracteres al azar
Cuerpo del mensaje: Please see the attached file for details Please read the attached file!
Your document is attached. Please read the document. Your file is attached. Your document is attached. Please confirm the document. Please read the important document. See the file. Requested file. Authentication required. Your document is attached to this mail. I have attached your document. I have received your document. The corrected document is attached. Your document. Your details. Please confirm! Please answer quickly! Thank you for your request, your details are attached! Thanks! am shocked about your document! Let'us be short: you have no experience in writing letters!!! Try this, or nothing! Here is it! Do not visit this illegal websites! You have downloaded these illegal cracks? Here is my icq list. Here is my phone number. I have visited this website and I found you in the spammer list. Is that true? Are you a spammer? (I found your email on a spammer website!?!) po44u90ugjid-k9z5894z0
9u049u89gh89fsdpokofkdpbm3-4i Please r564g!he4a56a3haafdogu#mfn3o SMTP Error #201 See the ghg5%&6gfz65!4Hf55d!46gfgf Server Error #203 Your photo, uahhh.... , you are naked! You have written a very good text, excellent, good work! Your archive is attached. Monthly news report. lovely, :-) your big love, ;-) I hope you accept the result! The sample is attached! Your important document, correction is finished! Important message, do not show this anyone! Here is the website. ;-) My favourite page. I have corrected your document. I have attached the sample. Your bill is attached to this mail. You were registered to the pay system. For more details see the attachment. Binary message is available. Message has been sent as a binary attachment. Can you confirm it? I have attached it to this mail. Please read the attached file. Your document is attached. Encrypted message is available. Protected message is attached.
Please confirm my request. ESMTP [Secure Mail System #334]:
Secure message is attached.
Partial message is available. Waiting for a Response. Please read the attachment. First part of the secure mail is available. For more details see the attachment. For further details see the attachment. Your requested mail has been attached. Protected Mail System Test. Secure Mail System Beta Test. Forwarded message is available. Delivered message is attached. Encrypted message is available. Please read the attachment to get the message. Follow the instructions to read the message. Please authenticate the secure message. Protected message is attached. Waiting for authentification. Protected message is available. Bad Gateway: The message has been attached. SMTP: Please confirm the attached message. You got a new message. Now a new message is available. New message is available. You have received an extended message. Please read the instructions. I noticed that you have visited illegal websites. See the name in the list!
You have visited illegal websites.
I have a big list of the websites you surfed.
Your mail account is expired. See the details to reactivate it.
Your mail account has been closed. For further details see the document.
The file is protected with the password ghj001. I have attached your file. Your password is jkl44563.
The sample file you sent contains a new virus version of mydoom.j. Please clean your system with the attached signature. Sincerly, Robert Ferrew
Greetings from france, your friend. Have a look at these.
Best wishes, your friend.
Congratulations!, your best friend.
I found this document about you. I cannot believe that.
Try this game ;-) I hope the patch works. Al final del mensaje podría incluirse información falsa de que el mensaje ha sido examinado y declarado limpio por un programa antivirus:
+++ Attachment: No Virus found +++ MessageLabs AntiVirus - www.messagelabs.com
+++ Attachment: No Virus found +++ Bitdefender AntiVirus - www.bitdefender.com
+++ Attachment: No Virus found +++ MC-Afee AntiVirus - www.mcafee.com
+++ Attachment: No Virus found +++ Kaspersky AntiVirus - www.kaspersky.com
+++ Attachment: No Virus found +++ Panda AntiVirus - www.pandasoftware.com
++++ Attachment: No Virus found ++++ Norman AntiVirus - www.norman.com
++++ Attachment: No Virus found ++++ F-Secure AntiVirus - www.f-secure.com
++++ Attachment: No Virus found ++++ Norton AntiVirus - www.symantec.de Hay una gran variedad de posibles nombres para los archivos adjuntos. El archivo adjunto usualmente tiene una extensión doble, siendo la primera extensión .doc o .txt, y la segunda una de la lista siguiente:
exe pif scr zip
El gusano también puede enviarse como un archivo ZIP.
El gusano no se envía a direcciones que contengan:
@antivi @avp @bitdefender @fbi @f-pro @freeav @f-secur @kaspersky @mcafee @messagel @microsof @norman @norton
@pandasof @skynet @sophos @spam @symantec @viruslis abuse@ noreply@ ntivir reports@ spam
El gusano podría puede enviar mensajes que contengan el IFRAME Exploit, de la misma manera que lo hicieron Klez.h y Swen. Cuando esto sucedeEn este caso, si el mensaje es visto porvisualizado en un cliente de correo electrónico vulnerable, el archivo que contiene al el gusano se ejecutará automáticamente.
Propagación por P2P El gusano crea múltiples copias de sí mismo en todos los subdirectorios que contengan cualquiera de las palabras de la siguiente lista:
bear donkey
download ftp htdocs http icq kazaa lime morpheus mule my shared folder shar shared files upload
Los archivos creados por el gusano tendrán recibirán nombres elegidos de la siguiente lista:
Kazaa Lite 4.0 new.exe Britney Spears Sexy archive.doc.exe Kazaa new.exe Britney Spears porn.jpg.exe Harry Potter all e.book.doc.exe Britney sex xxx.jpg.exe Harry Potter 1-6 book.txt.exe Britney Spears blowjob.jpg.exe Harry Potter e book.doc.exe Britney Spears cumshot.jpg.exe Harry Potter.doc.exe
Britney Spears fuck.jpg.exe Harry Potter game.exe Britney Spears.jpg.exe Harry Potter 5.mpg.exe Britney Spears and Eminem porn.jpg.exe Matrix.mpg.exe Britney Spears Song text archive.doc.exe Britney Spears full album.mp3.exe Eminem.mp3.exe Britney Spears.mp3.exe Eminem Song text archive.doc.exe Eminem Sexy archive.doc.exe Eminem full album.mp3.exe Eminem Spears porn.jpg.exe Ringtones.mp3.exe Eminem sex xxx.jpg.exe Ringtones.doc.exe Eminem blowjob.jpg.exe Altkins Diet.doc.exe Eminem Poster.jpg.exe American Idol.doc.exe Cloning.doc.exe Saddam Hussein.jpg.exe Arnold Schwarzenegger.jpg.exe Windows 2003 crack.exe Windows XP crack.exe Adobe Photoshop 10 crack.exe Microsoft WinXP Crack full.exe Teen Porn 15.jpg.pif Adobe Premiere 10.exe
Adobe Photoshop 10 full.exe Best Matrix Screensaver new.scr Porno Screensaver britney.scr Dark Angels new.pif XXX hardcore pics.jpg.exe Microsoft Office 2003 Crack best.exe Serials edition.txt.exe Screensaver2.scr Full album all.mp3.pif Ahead Nero 8.exe netsky source code.scr E-Book Archive2.rtf.exe Doom 3 release 2.exe How to hack new.doc.exe Learn Programming 2004.doc.exe WinXP eBook newest.doc.exe Win Longhorn re.exe Dictionary English 2004 - France.doc.exe RFC compilation.doc.exe 1001 Sex and more.rtf.exe 3D Studio Max 6 3dsmax.exe Keygen 4 all new.exe Windows 2000 Sourcecode.doc.exe Norton Antivirus 2005 beta.exe Gimp 1.8 Full with Key.exe Partitionsmagic 10 beta.exe Star Office 9.exe Magix Video Deluxe 5 beta.exe Clone DVD 6.exe MS Service Pack 6.exe
ACDSee 10.exe Visual Studio Net Crack all.exe Cracks & Warez Archiv.exe WinAmp 13 full.exe DivX 8.0 final.exe Opera 11.exe Internet Explorer 9 setup.exe Smashing the stack full.rtf.exe Ulead Keygen 2004.exe Lightwave 9 Update.exe The Sims 4 beta.exe
Otros Si el gusano encuentra las los códigosclaves listadas debajode la siguiente lista en el registro del sistema [HKLM\SOFTWARE\Microsoft\Windows\CurrentVer sion\Run]
las eliminará. Explorer system. msgsvr32 winupd.exe direct.exe jijbl service Sentry au.exe
direct.exe d3dupdate.exe OLE gouday.exe rate.exe Taskmon Windows Services Host sysmon.exe srate.exe ssate.exe winupd.exe
También eliminará los códigoslas claves system. Video de la sección HKLM\SOFTWARE\Microsoft\Windows\C urrentVersion\RunServices
Y los siguientes componentes de los códigosvalores de las claves, creadas por I-Worm.Bagle. HKLM\SYSTEM\CurrentControlSet\Ser vices\WksPatch HKCU\SOFTWARE\Microsoft\Windows\C urrentVersion\Explorer\PINF HKCR\CLSID\CLSID\{E6FB5E20-DE3511CF-9C8700AA005127ED}\InProcServer32
b. IM Worms (gusanos de mensajes instantáneos)
1. Wa
IM-Worm.Win32.Bropia.aj Otras versiones: .ad
Alias
IM-Worm.Win32.Bropia.aj (Kaspersky Lab) También conocido como: IM-Worm.Win32.VB.e (Kaspersky Lab),
Detección agregada
04 feb 2005
Descripción agregada 30 jun 2006
Comportamiento
IM-Worm
Detalles técnicos
Este gusano se propaga a través de Internet usando MSN Messenger. Está escrito en Visual Basic y es de aproximadamente 200 KB de tamaño. El gusano contiene un programa backdoor, el Backdoor.Win32.Rbot.hg que mismo para ser descomprime e instala en el equipo de la víctima.
Instalación Una vez ejecutado, el gusano se copia al directorio raíz (como regla, C:\) bajo uno de los siguientes nombres:
bedroom-thongs.pif
Hot.pif
LMAO.pif
LOL.scr
naked_drunk.pif
new_webcam.pif
ROFL.pif
underware.pif
Webcam.pif
También el gusano se copia al directorio del sistema de Windows como "msnus.exe":
%System%\msnus.exe El gusano busca los siguientes archivos:
dnsserv.exe
winhost.exe
winis.exe
Si no los encuentra, IM-Worm.Win32.VB.e baja el archivo "cz.exe" y lo ejecuta. Este archivo es una puerta trasera. Kaspersky Anti-Virus detectará este componente como Backdoor.Win32.Rbot.hg. Cuando "cz.exe" se ejecuta, se copia en el directorio del sistema de Windows como "winhost.exe". Luego se registra en el registro del sistema:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKCU\Software\Microsoft\OLE] "win32" = "winhost.exe" El gusano también crea el archivo "sexy.jpg" en el directorio raíz y lo abre, mostrando la siguiente imagen:
Propagación por MSN Cuando se ejecuta, el gusano obtiene acceso a la lista de contactos de MSN Messenger y se envía a todos los contactos bajo uno de los nombres mencionados anteriormente.
Daños El gusano cambia los niveles de volumen a cero.
2. Dsa
IM-Worm.Win32.Bropia.ad Otras versiones: .aj
Alias
IM-Worm.Win32.Bropia.ad (Kaspersky Lab) También conocido como: W32/Kelvir.worm.gen (NAI), W32.Kelvir (NAV), Win32.HLLW.Bropia (DrWeb), W32/BropiaW (Sophos), WORM_BROPIA.W (PCCIL), Worm/Bropia.AD (H+BEDV), W32/Bropia.AC (FPROT), Worm/ Kelvir.2.K (AVG), Win32.Worm.Bropia.U (BitDef7), W32/Bropia.AP.worm (Panda), Win32/Kelvir.BR (Nod32 )
Detección agregada
20 may 2005 22:15 GMT
Descripción agregada 30 jun 2006
Comportamiento
IM-Worm
Detalles técnicos
Este gusano está escrito en Visual Basic y normalmente tiene dos componentes: el gusano de Mensajes Instantáneos en sí, y una variante de Backdoor.Win32.Rbot incluida en el archivo. El backdoor se empaqueta usualmente con UPX y Morphine. Será detectado como Backdoor.Win32.Rbot.gen. El gusano es de 188,416 bytes de tamaño. La puerta trasera que está incluida en el archivo del gusano es de 86,528 bytes de tamaño cuando está empaquetada, y de aproximadamente 1.23MB cuando no lo está.
Instalación Este gusano llegará probablemente en un fichero descargado de P2P o como un link por MSN Messenger. Al ser ejecutado, el gusano se copia al directorio del sistema como msnadp32.exe. También se copia al directorio compartido de varias aplicaciones de P2P. La puerta trasera también se queda en C:\tmpdata como ImSexy.exe. Una vez ejecutado, se convierte en %sysdir%\pwmgr.exe y elimina ImSexy.exe. El gusano añade una clave al registro para asegurarse de ser ejecutado cuando se inicie Windows.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R un] MSN Administration For Windows="msnadp32.exe" El backdoor también añade claves al registro para asegurarse de ser ejecutado cuando se inicie Windows.
[HKEY_USERS\S-1-5-21-1482476501-162531612-8395221151003\Software\Microsoft\OLE] WinPWD Manager="pwmgr.exe" [HKEY_USERS\S-1-5-21-1482476501-162531612-8395221151003\Software\Microsoft\Windows\CurrentVersion\Run] WinPWD Manager="pwmgr.exe" [HKEY_USERS\S-1-5-21-1482476501-162531612-8395221151003\Software\Microsoft\Windows\CurrentVersion\RunServices] WinPWD Manager="pwmgr.exe" [HKEY_USERS\S-1-5-21-1482476501-162531612-8395221151003\SYSTEM\CurrentControlSet\Control\Lsa] WinPWD Manager="pwmgr.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole] WinPWD Manager="pwmgr.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R un] WinPWD Manager="pwmgr.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R unServices] WinPWD Manager="pwmgr.exe" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa] WinPWD Manager="pwmgr.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] WinPWD Manager="pwmgr.exe"
Daños El gusano es usado eficazmente para propagar el backdoor Rbot. Esta variante de Rbot tiene muchas funciones, incluyendo: recibir y ejecutar archivos, descubrir contraseñas, actuar como un servidor FTP, actuar como un servidor proxy, revisar puertos, dirigir ataques DoS, capturar pantallas y camáras web y propagarse a través de redes utilizando exploits y ataques de diccionarios. También puede robar los códigos de varios juegos populares para PC. El archivo local encontrado en %sysdir%\drivers\etc será reemplazado. Esto impide el acceso del equipo infectado a varios sitios de internet relacionados con seguridad.
Propagación El gusano envía mensajes a todas las direcciones en la lista de contactos de MSN. Los mensajes incluyen una conexión a un archivo malicioso .php; esta conexión contiene la dirección de correo electrónico del destinatario. Una vez que el destinatario hace click sobre el enlace, su dirección de correo electrónico será guardada para luego ser usada por los spammers (para enviar correspondencia no solicitada).
[nickname] says: lmao you dumbass!
[nickname] says: http://freebuddyicons.[censored].php?user=[recipient's email address] Bropia envía estas dos secuencias con cierta regularidad, para maximizar las opciones de que el destinatario haga click sobre el link. El gusano también utiliza redes P2P para propagarse. Se copia al directorio compartido de varias aplicaciones P2P usando los siguientes nombres:
Adult ID Check.exe Aim Flooder.exe Aim Hacker.exe AIMHacks.exe Anarchist CookBook.exe AVPDVDRip.mpg.exe BF1942FULL.exe BFVietnam.exe BigBoobs.exe BigBoobsXXX.exe Britney XXX.exe broadband wizard.exe cable accelerator.exe cable uncapper.exe CallofDutyFULL.exe CoolGames.exe Cool_Games.exe
CounterStrike.exe CounterStrikeSOURCE.exe CounterStrikeSourceFULL.exe Cracker Game.exe Cracks Collections.Exe Credit Card.exe Delphi6 Keygen.exe DOOM3_FULL.exe DownLoad Accelerator Plus.exe Dreamcast BootDisc.exe Dropitlikeitzhot.exe DVDRipper.exe Easy CD Creator 5.exe email hacker.exe exeeenSaver.exe F-ProtAV-Full.exe FBISecretDocuments.exe FTP Commander.exe Ftp Cracker.exe Ftp Hacker.exe FuckedHARDXXX.exe Gladiator (Movie) - Full Downloader.exe GTAViceCity.exe Hacker Kit.exe Hacker.exe HackingWebpage.exe HackingWindowsXP.exe HackingXP.exe HalfLife2FULL+Crack.exe HalfLife2FULL.exe
Halflife2KeyGen.exe HalfLife2_FULL.exe Hotmail Account Hacker.exe Hotmail Hack.exe Hotmail Hacker.exe Hotmail Password Cracker.exe HotmailHackerKit.exe How-to-Hack.exe HowtoHack.exe Icq Ad Remover.exe Icq Banner Remover.exe ICQ Hack.exe icq hacker.exe icq ip patch.exe Ident Faker.exe Ident Spoofer.exe IE6 Final.exe InDaClub.exe irc flooder.exe IRobotDVDRip.mpg.exe Jasc Paint Shop Pro 7 (Full).exe JeniferLopezNUDE.exe Johnny English (Movie) - Full Downloader.exe Kazaa ad remover.exe LanGuard NetScan.exe Linux RootKit.exe Matrix Reloaded.exe McafeeAntiVirus.exe MedalofHonorPacificAssultFULL.exe Microsoft Office Full.exe
MiddleSchoolPornXXX.exe Mirc6 Full.exe mirc6 keygen.exe Mp3 Maker Pro.exe mp3 to wav full.exe Msn Hacker.exe MSN Messenger Password Stealer.exe MS_Frontpage.exe NeroBurningRom 6.exe Norton AntiVirus Full.exe Norton Keygen-All Vers.exe NortonAntirVirus2005FULL.exe NortonAntiVirus2005FULL.exe NortonPersonalFirewallFULL.exe NudeCheerleaders.exe OfficeXP sp2 express.exe PasswordCrackers.exe PCChillen.exe pE packer.exe Peck.exe PhotoShopCS8.0_Crack.exe PipeBombTutorial.exe PreTeenBlowJob.exe PreTeenSEX.exe PreTeenXXX.exe PS1 BootDisc.exe PS2 BootDisc.exe PSXCopy Full.exe Salford.exe Serials 2k.exe
Serials Collections.exe SexyChickXXXHarcore.exe SexyTeen.exe Simpsons.exe SluttyCheerleaders.exe SohposAntiVirusFULL.exe Sopohs_Anti_Virus.exe SpywareKiller.exe SteelCap.exe StylesXP.exe Sub7 Master Password.exe Sub7 Remover.exe SwordFish (Movie) - Full Downloader.exe SxyTeenagePorn.exe SxyTeenageSEX.exe SxyTeenFuckedHARD.exe SxyTeenGetsItuptheASS.exe TeenSexHardcore.exe Trillian Patcher.exe Trillian Pro Full.exe Trojan Remover.exe uin2ip.exe VS.Net Patcher.exe Wadle.exe WallPapersXXX.exe webpage hacker.exe WebpageHackingTools.exe WebRootSpySweeper.exe Westdene.exe Win Proxy.exe
Win Shares Cracker.exe Win-RAR-FULL+CRACK.exe Win-RAR-FULL.exe Win98 Hacker.exe WinXP Keygen.exe WinXPHacking.exe www hacker kit.exe XPHackes.exe xxx exeeensaver.exe XXX Virtual Sex.exe XXXCollection.exe XXXHighSchoolSluts.exe XXXMagaPack.exe XXXTeenSexXXX.exe XXXWallpaperCollection.exe Yahoo Hacker.exe Zip_RAR_PWCracker.exe ZoneAlarm Pro Full.exe ZoneAlarm.exe Rbot se propaga a través de redes, aprovechando las vulnerabilidades de Windows que no han sido reparadas, intenta forzar su entrada a los ordenadores probando ataques de diccionario.
Eliminación Cerciórese de que su antivirus esté al día. Si su sistema está infectado, y no puede ingresar al sitio de su distribuidor de aintivirus, elimine el archivo ―host‖ encontrado en %sysdir%\drivers\etc e intente de nuevo. Realice una revisión completa de su sistema. Los usuarios de Kaspersky Anti-Virus deben eliminar todos los archivos detectados como IMWorm.Win32.Bropia.ad y Backdoor.Win32.Rbot.gen. Reinicie si es necesario.
3. Sa
IM-Worm.Win32.Sumom.a Alias
IM-Worm.Win32.Sumom.a (Kaspersky Lab) También conocido como: W32/Generic.worm!p2p (NAI), W32.Serflog.A (NAV), Win32.HLLW.Generic.113 (DrWeb), W32/SumomA (Sophos), Worm:Win32/Crazog.A (RAV), WORM_FATSO.A (PCCIL), Worm/Sumom.a.html (H+BEDV), W32/Sumom.A (FPROT), Worm/Fatso.A (AVG), Win32.Worm.Sumom.A (BitDef7), Worm.Sumom.A3 (Clamav), W32/Fatso.A.worm (Panda), Win32/Sumom.A (Nod32)
Detección agregada
07 mar 2005 04:14 GMT
Descripción agregada 06 jul 2007
Comportamiento
IM-Worm
Detalles técnicos
Virus-gusano. Se propaga mediante MSN en forma de enlaces al fichero infectado. Está empaquetado con por medio de varios programas a la vez. El tamaño del fichero empaquetado es de 17KB; descomprimido, 155KB bytes.
Instalación Se copia a sí mismo al catálogo de Windows bajo uno de los siguientes nombres:
formatsys.exe lspt.exe msmbw.exe serbw.exe
El fichero copiado se marca con el atributo "oculto" (hidden), lo que permite hacerlo invisible a la mayora de los usuarios. Se registra bajo uno de los siguientes nombres:
avnort
ltwob
serpe
En las siguientes llaves del registro del sistema:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\R un][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio n\RunServices][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cu rrentVersion\policies\Explorer\Run] Suplanta el fichero %WINDIR%\System32\Drivers\etc\hosts con los valores de la siguiente lista, lo que le permite impedir que los usuarios de Windows se conecten a los sitios de las compañías antivirus:
64.233.167.104 avp.com 64.233.167.104 ca.com 64.233.167.104 customer.symantec.com 64.233.167.104 dispatch.mcafee.com 64.233.167.104 download.mcafee.com 64.233.167.104 f-secure.com 64.233.167.104 grisoft.com 64.233.167.104 kaspersky.com 64.233.167.104 kaspersky-labs.com 64.233.167.104 liveupdate.symantec.com 64.233.167.104 liveupdate.symantecliveupdate.com 64.233.167.104 mast.mcafee.com 64.233.167.104 mcafee.com 64.233.167.104 my-etrust.com 64.233.167.104 nai.com 64.233.167.104 networkassociates.com 64.233.167.104 rads.mcafee.com 64.233.167.104 sandbox.norman.no 64.233.167.104 secure.nai.com 64.233.167.104 securityresponse.symantec.com 64.233.167.104 sophos.com 64.233.167.104 symantec.com 64.233.167.104 trendmicro.com 64.233.167.104 uk.trendmicro-europe.com
64.233.167.104 update.symantec.com 64.233.167.104 updates.symantec.com 64.233.167.104 us.mcafee.com 64.233.167.104 viruslist.com 64.233.167.104 www.avp.com 64.233.167.104 www.ca.com 64.233.167.104 www.f-secure.com 64.233.167.104 www.grisoft.com 64.233.167.104 www.kaspersky.com 64.233.167.104 www.mcafee.com 64.233.167.104 www.my-etrust.com 64.233.167.104 www.nai.com 64.233.167.104 www.networkassociates.com 64.233.167.104 www.pandasoftware.com 64.233.167.104 www.sophos.com 64.233.167.104 www.symantec.com 64.233.167.104 www.trendmicro.com 64.233.167.104 www.viruslist.com Se propaga bajo los siguientes nombres:
Annoying crazy frog getting killed.pif
Crazy frog gets killed by train!.pif
Fat Elvis! lol.pif
How a Blonde Eats a Banana...pif
Jennifer Lopez.scr
LOL that ur pic!.pif
lspt.exe
Me on holiday!.pif
Mona Lisa Wants Her Smile Back.pif
My new photo!.pif
See my lesbian friends.pif
The Cat And The Fan piccy.pif
Topless in Mini Skirt! lol.pif
Manifestaciones de su presencia en el sistema Se crean ficheros con los siguientes nombres en el catálogo raíz del disco CÑ con atributos "ocultos":
Annoying crazy frog getting killed.pif
Crazy frog gets killed by train!.pif
Crazy-Frog.Html
Fat Elvis! lol.pif
How a Blonde Eats a Banana...pif
Jennifer Lopez.scr
LOL that ur pic!.pif
lspt.exe
Me on holiday!.pif
Message to n00b LARISSA.txt
Mona Lisa Wants Her Smile Back.pif
My new photo!.pif
See my lesbian friends.pif
The Cat And The Fan piccy.pif
Topless in Mini Skirt! lol.pif
Destruye los siguientes procesos activos en el sistema:
apvxdwin.exe
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avconsol.exe
avengine.exe
avsynmgr.exe
avwupd32.exe
avxquar.exe
bawindo.exe
blackd.exe
ccapp.exe
ccevtmgr.exe
ccproxy.exe
ccpxysvc.exe
cfiaudit.exe
cmd.exe
defwatch.exe
drwebupw.exe
escanh95.exe
escanhnt.exe
firewall.exe
frameworkservice.exe
icssuppnt.exe
icsupp95.exe
luall.exe
lucoms~1.exe
mcagent.exe
mcshield.exe
mcupdate.exe
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
msconfig.exe
msdev.exe
navapsvc.exe
navapw32.exe
nisum.exe
nopdb.exe
nprotect.exe
nupgrade.exe
ollydbg.exe
outpost.exe
pavfires.exe
pavproxy.exe
pavsrv50.exe
peid.exe
petools.exe
regedit.exe
reshacker.exe
rtvscan.exe
rulaunch.exe
savscan.exe
shstat.exe
sndsrvc.exe
symlcsvc.exe
taskmgr.exe
Update.exe
updaterui.exe
vshwin32.exe
vsstat.exe
vstskmgr.exe
w32dasm.exe
winhex.exe
wscript.exe
Al descomprimirse contiene los siguientes renglones:
'-F-u-c-k-'-Y-o-u-'
Hey LARISSA fuck off, you fucking n00b!.. Bla bla to your fucking
Saving the world from Bropia, the world n33ds saving from you!
'-S-K-Y-'-D-E-V-I-L-'
.:*Fuck-Off*:.
c. Gusanos de internet 1. Hffd
Email-Worm.Win32.Eyeveg.f Otras versiones: .b, .g
Alias
Email-Worm.Win32.Eyeveg.f (Kaspersky Lab) También conocido como: Worm.Win32.Eyeveg.f (Kaspersky Lab), W32/Eyeveg.worm.gen (NAI), W32.Lanieca.A@mm (NAV), Win32.HLLW.Eyeveg.2 (DrWeb), W32/Wurmar kJ (Sophos), Worm:Win32/Eyeveg.E (RAV), WORM_WURMARK.J (PCCIL), Worm/Cipie (H+BEDV), W32/ Eyeveg.H@mm (FPROT), PSW.Agent.5.V (AVG), Trojan.Spy.Agent.AJ (BitDef7), Trojan.W32.PWS.Prosto r.A (Clamav), W32/Eyeveg.F.worm (Panda), Win32/Eyeveg.I (Nod32)
Detección agregada
09 may 2005 08:21 GMT
Descripción agregada 30 jun 2006
Comportamiento
Worm
Detalles técnicos
ste gusano está escrito en Visual C++ y se compone de dos archivos, un archivo ejecutable (EXE) y una biblioteca de enlace dinámico (dynamic link library ó DLL), la cual se encuentra dentro del archivo EXE. El archivo EXE se empaqueta usando UPX, y es de un tamañosu tamaño es de 80384 bytes. El archivoEl tamaño del archivo DLL es de un tamaño de 77824 bytes.
Instalación El gusano se copia al directorio del sistema bajo un nombre cualquiera compuesto de 6 letras. El archivo DLL se guardará en el mismo lugar. En sistemas Win9x, este proceso será veladoinvisible.
Daños El gusano desactivará las barreras internas de seguridad internas de Windows XP. Actuará como un decodificador de contraseñas, recolectando detalles de carpetas compartidas, contraseñas que han sido guardadas en el Navegador de Internet, contraseñas de correo-ecorreo electrónico y otros datos confidenciales. Luego utiliza http POST para enviar esta información a www.melan******oll.biz/n.php.
Propagación por correo electrónico-e El gusano se envía a direcciones de correo electrónico recolectadas de archivos con extensiones como: html, eml, sht, asp, mbx. Nombres de los archivos adjuntos:
love.jpg resume.doc details.doc news.doc image.jpg message.txt pic.jpg
...scr ...scr ...scr ...scr ...scr ...scr ...scr
girls.jpg
...scr
photo.jpg
...scr
video.avi
...scr
music.mp3
...scr
song.wav screensaver
...scr ...scr
El archivo adjunto también puede llegar como un archivo ZIP, utilizando los nombres mencionados anteriormente.
Propagación por redes El gusano también se copia a carpetas compartidas abiertas.
2. Bff
Net-Worm.Linux.Lupper.a Detección agregada
07 nov 2005 04:54 GMT
Descripción agregada 24 ene 2008
Comportamiento
Net-Worm
Detalles técnicos
Este programa malicioso propaga unos archivos con formato ELF y representa un peligro para los servidores web de Linux. El gusano se propaga a través de las siguientes vulnerabilidades: 1.
AWStats Rawlog Plugin Logfile Parameter Input Validation Vulnerability (Bugtraq 10950);
2.
XML-RPC for PHP Remote Code Injection Vulnerability (Bugtraq ID 14088);
3.
Darryl Burgdorf Webhints Remote Command Execution Vulnerability (Bugtraq ID 13930).
Las siguientes aplicaciones contienen estas vulnerabilidades: b2evolution Drupal PHPGroupWare PostNuke TikiWiki WordPress Xoops Estas vulnerabilidades fueron corregidas en las últimas versiones de los programas. Una serie de instrucciones se ejecutan en los servidores a través de las vulnerabilidades. Primero, una copia del gusano se descarga desde una dirección fija utilizando wget. La copia del gusano se guarda en el directorio /tmp como "lupii". Luego, un bit ejecutable se incrusta utilizando la instrucción chmod, y el archivo ejecutable se auto-ejecuta. Además, instala una puerta trasera en el puerto UDP 7222 del servidor comprometido y espera recibir instrucciones. El gusano genera una lista de URLs que contienen las siguientes cadenas de texto: /awstats/ /b2/xmlsrv/xmlrpc.php /b2evo/xmlsrv/xmlrpc.php
/blog/xmlrpc.php /blog/xmlsrv/xmlrpc.php /blogs/xmlrpc.php /blogs/xmlsrv/xmlrpc.php /blogtest/xmlsrv/xmlrpc.php /cgi/awstats/ /cgi/hints.cgi /cgi/hints.pl /cgi/includer.cgi /cgi-bin/ /cgi-bin/awstats/ /cgi-bin/hints.cgi /cgi-bin/hints.pl /cgi-bin/hints/hints.cgi /cgi-bin/hints/hints.pl /cgi-bin/inc/includer.cgi /cgi-bin/include/includer.cgi /cgi-bin/includer.cgi /cgi-bin/stats/ /cgi-bin/webhints/hints.cgi /cgi-bin/webhints/hints.pl /cgi-local/includer.cgi /community/xmlrpc.php /drupal/xmlrpc.php /hints.cgi /hints.pl /hints/hints.cgi /hints/hints.pl /includer.cgi /phpgroupware/xmlrpc.php /scgi/awstats/ /scgi/hints.cgi /scgi/hints.pl /scgi/includer.cgi /scgi-bin/ /scgi-bin/awstats/ /scgi-bin/hints.cgi /scgi-bin/hints.pl /scgi-bin/hints/hints.cgi /scgi-bin/hints/hints.pl /scgi-bin/inc/includer.cgi /scgi-bin/include/includer.cgi /scgi-bin/includer.cgi /scgi-bin/stats/ /scgi-bin/webhints/hints.cgi /scgi-bin/webhints/hints.pl /scgi-local/includer.cgi /scripts/ /stats/ /webhints/hints.cgi /webhints/hints.pl /wordpress/xmlrpc.php /xmlrpc.php /xmlrpc/xmlrpc.php /xmlsrv/xmlrpc.php Esta lista se utiliza para contagiar otros anfitriones.
3. Dsaa
Net-Worm.Win32.Mytob.bk Otras versiones: .be, .bi, .r, .w
Alias
Net-Worm.Win32.Mytob.bk (Kaspersky Lab) También conocido como: W32/Mytob.gen@MM (NAI), W32.Mytob.ED@mm (NAV), Win32.HLLM.MyDoom.55 (DrWeb), W32/MytobAS (Sophos), WORM_MYTOB.EE (PCCIL), Worm/Mytob.FH (H+BEDV), W32/Mytob.FK@mm (FPROT), Win32.Worm.Mytob.CC (BitDef7), Worm.Mytob.AS (Clamav), W32/Mytob.FB.worm (Panda), Win32/Mytob. EA (Nod32)
Detección agregada
11 jun 2005 11:26 GMT
Descripción agregada 30 jun 2006
Comportamiento
Net-Worm
Detalles técnicos
Este gusano de red infecta ordenadores con Windows. El gusano en sí es un archivo PE EXE, escrito en Visual C++ y empaquetado usando UPX. El tamaño del archivo es de 57470 bytes. El archivo sin empaquetar tiene un tamaño aproximado de 116KB. También se extiende por Internet como un anexo a los mensajes infectados Se envía a direcciones de correo electrónico recolectadas del ordenador de la víctima. El gusano contiene una puerta trasera (backdoor) que recibe instrucciones vía IRC.
Instalación Una vez ejecutado, el gusano se copia a sí mismo al directorio del sistema de Windows como "wincfg32.exe".
%System%\wincfg32.exe Luego se copia a sí mismo en el registro del sistema de Windows, para asegurar su ejecución cada vez que Windows sea reiniciado en el equipo de la víctima:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] "Windows Configuration" = "wincfg32.exe"
También cambia la siguiente clave del registro para bloquear el servicio al Acceso compartido (Shared Access):
[HKLM\System\CurrentControlSet\Services\SharedAccess] "Start" = "4" Cambia un rango en la siguiente clave delvarias claves de la siguiente sección del registro del sistema para modificar los ajustea configuracións de seguridad de Internet Explorer:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
Propagación por correo electrónico El gusano se envía a las direcciones de correo electrónico recogidas de la libreta de direcciones de Windows y los archivos con las siguientes extensiones:
adb asp cgi dbx htm html jsp php pl sht tbb txt wab xml El gusano ignora las direcciones que contienen las siguientes cadenas de texto:
.gov .mil abuse accoun acketst
admin admin administrator anyone arin. avp berkeley borlan bsd bsd bugs ca certific contact example feste fido foo. fsf. gnu gold-certs google google gov. help hotmail iana ibm.com icrosof icrosoft
ietf info info inpris isc.o isi.e kernel linux linux listserv mail math me mit.e mozilla msn. mydomai no nobody nodomai noone not nothing ntivi page panda pgp postmaster privacy rating
register rfc-ed ripe. root ruslis samples secur secur sendmail service service site soft somebody someone sopho spam spm submit support support syma tanford.e the.bat unix unix usenet utgers.ed webmaster webmaster
www you your El gusano establece un enlaceuna conexión directao al servidor SMTP del destinatario para enviar los mensajes infectados.
Mensajes infectados Remitente (incluye uno de los nombres listados abajo): adam alex andrew anna bill bob bob brenda brent brian claudia dan dave david debby frank fred george helen jack james jane jerry
jim jimmy joe john jose josh julie kevin leo linda maria mary matt michael michael mike paul peter ray robert sales sam sandra serg smith stan steve ted tom
Asunto del mensaje (elegido al azar de la lista de abajo)
*DETECTED* Online User Violation
Email Account Suspension
Important Notification
Members Support
Notice of account limitation
Security measures
Warning Message: Your services near to be closed.
You have successfully updated your password
Your Account is Suspended
Your Account is Suspended For Security Reasons
Your new account password is approved
Your password has been successfully updated
Your password has been updated
Cuerpo del mensaje (elegido al azar de la lista de abajo)
Dear user , You have successfully updated the password of your account. If you did not authorize this change or if you need assistance with your account, please contact customer service at:
Thank you for using ! The Support Team +++ Attachment: No Virus (Clean) +++ Antivirus - www.
Dear user , It has come to our attention that your User Profile ( x ) records are out of date. For further details see the attached document. Thank you for using ! The Support Team +++ Attachment: No Virus (Clean) +++ Antivirus - www.
Dear Member, We have temporarily suspended your email account . This might be due to either of the following reasons: 1. A recent change in your personal information (i.e. change of address). 2. Submiting invalid information during the initial sign up process. 3. An innability to accurately verify your selected option of subscription due to an internal error within our processors. See the details to reactivate your account. Sincerely,The Support Team +++ Attachment: No Virus (Clean)
+++ Antivirus - www.
Dear Member, Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service. If you choose to ignore our request, you leave us no choice but to cancel your membership. Virtually yours, The Support Team +++ Attachment: No Virus found +++ Antivirus - www.
Nombre del archivo adjunto (elegido al azar de la lista de abajo) accepted-password account-details account-info account-password account-report approved-password document email-details email-password important-details new-password password readme updated-password El archivo adjunto puede tener una de las siguientes extensiones:
.bat .cmd .exe .pif .scr
El archivo adjunto también puede ser un archivo .ZIP, que contiene una copia del gusano en un archivo de doble extensión por ejemplo:
important-details.txt
.scr
Administración a distancia Net-Worm.Win32.Mytob.bk abre el un puerto TCP en el ordenador de la víctima y se conecta a canales IRC de charla interactiva para recibir órdenes. Esto da al usuario malicioso un acceso completo al equipo de la víctima vía canales IRC, para recibir información del ordenador infectado, descargar archivos, iniciarlos y eliminarlos.
Otros El gusano escribe el siguiente texto en el archivo "%System%\drivers\etc\hosts". Esto significa que el usuario de la máquina infectada es incapaz de ingresar a estos sitios.
127.0.0.1
www.symantec.com
127.0.0.1
securityresponse.symantec.com
127.0.0.1
symantec.com
127.0.0.1
www.sophos.com
127.0.0.1
sophos.com
127.0.0.1
www.mcafee.com
127.0.0.1
mcafee.com
127.0.0.1
liveupdate.symantecliveupdate.com
127.0.0.1
www.viruslist.com
127.0.0.1
viruslist.com
127.0.0.1
viruslist.com
127.0.0.1
f-secure.com
127.0.0.1
www.f-secure.com
127.0.0.1
kaspersky.com
127.0.0.1
kaspersky-labs.com
127.0.0.1
www.avp.com
127.0.0.1
www.kaspersky.com
127.0.0.1
avp.com
127.0.0.1
www.networkassociates.com
127.0.0.1
networkassociates.com
127.0.0.1
www.lycos-vds.com
127.0.0.1
t35.com
127.0.0.1
www.t35.com
127.0.0.1
t35.net
127.0.0.1
www.t35.net
127.0.0.1
funpic.org
127.0.0.1
www.funpic.org
127.0.0.1
funpic.de
127.0.0.1
www.funpic.de
127.0.0.1
www.ca.com
127.0.0.1
ca.com
127.0.0.1
mast.mcafee.com
127.0.0.1
my-etrust.com
127.0.0.1
www.my-etrust.com
127.0.0.1
download.mcafee.com
127.0.0.1
dispatch.mcafee.com
127.0.0.1
secure.nai.com
127.0.0.1
nai.com
127.0.0.1
www.nai.com
127.0.0.1
update.symantec.com
127.0.0.1
updates.symantec.com
127.0.0.1
us.mcafee.com
127.0.0.1
liveupdate.symantec.com
127.0.0.1
customer.symantec.com
127.0.0.1
rads.mcafee.com
127.0.0.1
trendmicro.com
127.0.0.1
pandasoftware.com
127.0.0.1
www.pandasoftware.com
127.0.0.1
www.trendmicro.com
127.0.0.1
www.grisoft.com
127.0.0.1
www.microsoft.com
127.0.0.1
microsoft.com
127.0.0.1
www.virustotal.com
127.0.0.1
virustotal.com
Detendrá su proceso si los nombres contienen las siguientes cadenas:
ACKWIN32.EXE ADAWARE.EXE ADVXDWIN.EXE AGENTSVR.EXE AGENTW.EXE ALERTSVC.EXE ALEVIR.EXE ALOGSERV.EXE AMON9X.EXE ANTI-TROJAN.EXE ANTIVIRUS.EXE ANTS.EXE APIMONITOR.EXE APLICA32.EXE APVXDWIN.EXE ARR.EXE ATCON.EXE ATGUARD.EXE ATRO55EN.EXE ATUPDATER.EXE ATUPDATER.EXE ATWATCH.EXE AUPDATE.EXE AUPDATE.EXE
AUTODOWN.EXE AUTODOWN.EXE AUTOTRACE.EXE AUTOTRACE.EXE AUTOUPDATE.EXE AUTOUPDATE.EXE AVCONSOL.EXE AVE32.EXE AVGCC32.EXE AVGCTRL.EXE AVGNT.EXE AVGSERV.EXE AVGSERV9.EXE AVGUARD.EXE AVGW.EXE AVKPOP.EXE AVKSERV.EXE AVKSERVICE.EXE AVKWCTl9.EXE AVLTMAIN.EXE AVNT.EXE AVP.EXE AVP32.EXE AVPCC.EXE AVPDOS32.EXE AVPM.EXE AVPTC32.EXE AVPUPD.EXE AVPUPD.EXE AVSCHED32.EXE
AVSYNMGR.EXE AVWINNT.EXE AVWUPD.EXE AVWUPD32.EXE AVWUPD32.EXE AVWUPSRV.EXE AVXMONITOR9X.EXE AVXMONITORNT.EXE AVXQUAR.EXE AVXQUAR.EXE BACKWEB.EXE BARGAINS.EXE BD_PROFESSIONAL.EXE BEAGLE.EXE BELT.EXE BIDEF.EXE BIDSERVER.EXE BIPCP.EXE BIPCPEVALSETUP.EXE BISP.EXE BLACKD.EXE BLACKICE.EXE BLSS.EXE BOOTCONF.EXE BOOTWARN.EXE BORG2.EXE BPC.EXE BRASIL.EXE BS120.EXE BUNDLE.EXE
BVT.EXE CCAPP.EXE CCEVTMGR.EXE CCPXYSVC.EXE CDP.EXE CFD.EXE CFGWIZ.EXE CFIADMIN.EXE CFIAUDIT.EXE CFIAUDIT.EXE CFINET.EXE CFINET32.EXE CLEAN.EXE CLEANER.EXE CLEANER3.EXE CLEANPC.EXE CLICK.EXE CMD32.EXE CMESYS.EXE CMGRDIAN.EXE CMON016.EXE CONNECTIONMONITOR.EXE CPD.EXE CPF9X206.EXE CPFNT206.EXE CTRL.EXE CWNB181.EXE CWNTDWMO.EXE CLAW95CF.EXE DATEMANAGER.EXE
DCOMX.EXE DEFALERT.EXE DEFSCANGUI.EXE DEFWATCH.EXE DEPUTY.EXE DIVX.EXE DLLCACHE.EXE DLLREG.EXE DOORS.EXE DPF.EXE DPFSETUP.EXE DPPS2.EXE DRWATSON.EXE DRWEB32.EXE DRWEBUPW.EXE DSSAGENT.EXE DVP95.EXE DVP95_0.EXE ECENGINE.EXE EFPEADM.EXE EMSW.EXE ENT.EXE ESAFE.EXE ESCANHNT.EXE ESCANV95.EXE ESPWATCH.EXE ETHEREAL.EXE ETRUSTCIPE.EXE EVPN.EXE EXANTIVIRUS-CNET.EXE
EXE.AVXW.EXE EXPERT.EXE EXPLORE.EXE F-PROT.EXE F-PROT95.EXE F-STOPW.EXE FAMEH32.EXE FAST.EXE FCH32.EXE FIH32.EXE FINDVIRU.EXE FIREWALL.EXE FNRB32.EXE FP-WIN.EXE FP-WIN_TRIAL.EXE FPROT.EXE FRW.EXE FSAA.EXE FSAV.EXE FSAV32.EXE FSAV530STBYB.EXE FSAV530WTBYB.EXE FSAV95.EXE FSGK32.EXE FSM32.EXE FSMA32.EXE FSMB32.EXE GATOR.EXE GBMENU.EXE GBPOLL.EXE
GENERICS.EXE GMT.EXE GUARD.EXE GUARDDOG.EXE HACKTRACERSETUP.EXE HBINST.EXE HBSRV.EXE HOTACTIO.EXE HOTPATCH.EXE
II. Virus clásico a. Virus de archivos ejecutables y de arranque
Virus.Win32.Gpcode.ai Otras versiones: .ad, .ag, .ak Detección agregada
16 jul 2007 00:10 GMT
Descripción agregada 16 jul 2007
Comportamiento
Virus
Detalles técnicos Daños Instrucciones de eliminación
Detalles técnicos
Programa nocivo que cifra los ficheros del usuario en el ordenador infectado. Es un programa para Windows (fichero PE-EXE). Está empaquetado con UPX. Su tamaño es de 58.368 bytes. Las variantes conocidas tenían el nombre ―ntos.exe‖. Los ficheros ejecutables de las variantes conocidas tenían el nombre ―ntos.exe‖.
Daños
Después de iniciarse, el virus genera una llave única para cifrar los ficheros y los guarda en la siguiente llave del registro del sistema:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion] "WinCode" = "" También se inscribe a sí mismo en la llave de autoinicio del registro del sistema:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "UserInit" = "%System%\userinit.exe, %System%\ntos.exe" El valor de la llave se coteja con el contenido de los procesos del sistema dónde se ha infiltrado el código nocivo (por ejemplo, Winlogon.exe). Si el valor de la llave cambia (p.e., se la elimina el valor c:\windows\system32\ntos.exe), se la reestablece automáticamente desde algún proceso del sistema. Además, el código infiltrado protege el fichero ubicado en el directorio del sistema (c:\windows\system32\ntos.exe) contra cualquier modificación, cambio de nombre o copia. Después, si la fecha en curso se encuentra en el diapasón entre el 10 y 15 de julio de 2007 (inclusive), el programa nocivo empieza a cifrar todos los ficheros del usuario que tengan las siguientes extensiones:
.12m .3ds .3dx .4ge .4gl .7z .a .a86 .abc .acd .ace .act .ada .adi
.aex .af3 .afd .ag4 .ai .aif .aifc .aiff .ain .aio .ais .akf .alv .amp .ans .ap .apa .apo .app .arc .arh .arj .arx .asc .asm .ask .au .bak .bas .bb
.bcb .bcp .bdb .bh .bib .bpr .bsa .btr .bup .bwb .bz .bz2 .c .c86 .cac .cbl .cc .cdb .cdr .cgi .cmd .cnt .cob .col .cpp .cpt .crp .cru .csc .css
.csv .ctx .cvs .cwb .cwk .cxe .cxx .cyp .d .db .db0 .db1 .db2 .db3 .db4 .dba .dbb .dbc .dbd .dbe .dbf .dbk .dbm .dbo .dbq .dbt .dbx .dfm .djvu .dic
.dif .dm .dmd .doc .dok .dot .dox .dsc .dwg .dxf .dxr .eps .exp .f .fas .fax .fdb .fla .flb .frm .fm .fox .frm .frt .frx .fsl .gtd .gif .gz .gzip
.h .ha .hh .hjt .hog .hpp .htm .html .htx .ice .icf .inc .ish .iso .jar .jad .java .jpg .jpeg .js .jsp .key .kwm .lst .lwp .lzh .lzs .lzw .ma .mak
.man .maq .mar .mbx .mdb .mdf .mid .mo .myd .obj .old .p12 .pak .pas .pdf .pem .pfx .php .php3 .php4 .pgp .pkr .pl .pm3 .pm4 .pm5 .pm6 .png .ppt .pps
.prf .prx .ps .psd .pst .pw .pwa .pwl .pwm .pwp .pxl .py .rar .res .rle .rmr .rnd .rtf .safe .sar .skr .sln .swf .sql .tar .tbb .tex .tga .tgz .tif
.tiff .txt .vb .vp .wps .xcr .xls .xml .zip En cada catálogo donde se hayan cifrado ficheros, el virus pone el fichero read_me.txt, que tiene el siguiente contenido: Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA). You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us. To decrypt your files you need to buy our software. The price is $300. To buy our software please contact us at: [email protected] and provide us your personal code -XXXXX. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system. If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data.
Glamorous team El virus crea en el directorio del sistema de Windows un directorio escondido, ―wsnpoem‖, que contiene dos ficheros vacíos: vide.dll y audio.dll.
Instrucciones de eliminación
Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, siga las siguientes instrucciones para eliminarlo: 1.
Para desactivar de forma manual el programa nocivo, se puede cambiar el valor de la llave del registro agregando cualquier carácter al final del nombre del módulo nocivo. Por ejemplo:
2. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "UserInit" = "%System%\userinit.exe, %System%\ntos.exe_"
3.
Reiniciar el ordenador.
4.
Eliminar manualmente los siguientes ficheros del catálogo del sistema de Windows:
ntos.exe Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
Virus.Win32.Delf.k Detección agregada
10 ene 2006 21:30 GMT
Actualización lanzada 10 ene 2006 22:41 GMT
Descripción agregada 30 jun 2006
Comportamiento
Virus
Detalles técnicos Daños Instrucciones de eliminación
Detalles técnicos
Este virus reemplaza archivos .EXE con su propio código. El virus en sí es un archivo PE EXE de Windows y su tamaño es de 18944 bytes. Está escrito en Delphi.
Daños
Una vez ejecutado, el virus busca en el disco duro archivos con extensión .EXE. Cuando el virus encuentra tal archivo, lo copia a un archivo llamado: .exe.exe La copia del archivo se coloca en la misma carpeta que el archivo original. Después, el virus borra el contenido del archivo original y lo reemplaza por su prop o código. Cuando un archivo infectado se ejecuta, el virus lanza la copia del archivo original y luego se detiene. El virus exhibe el siguiente mensaje el 14 de mayo.
Entonces el virus hace que el equipo de la víctima colapse.
Instrucciones de eliminación 1.
Elimine todas las copias del virus y cambie los nombres de los archivos llamados .exe.exe por .exe.
2.
Actualice la base de datos de su antivirus y lleve a cabo un análisis completo a su ordenador (descargue una versión de prueba de Kaspersky Anti-Virus).
Virus.VBS.Jertva Detección agregada
02 feb 2005
Descripción agregada 16 jul 2007
Comportamiento
Virus
Detalles técnicos Daños Instrucciones de eliminación
Detalles técnicos Virus que infecta los ficheros con extensiones ―.htm‖, ―.html‖ y ―.asp‖. Su tamaño es de 1.531 bytes. Está escrito en Visual Basic Script (VBS). Daños
Al iniciarse, el programa comprueba si ha sido lanzada desde un recurso local. Si es así, entonces el virus revisa su directorio de trabajo en busca de ficheros con las extensiones:
*.htm *.html *.asp
Al principio de todos los ficheros encontrados escribe el siguiente renglón:
Después, el virus añade su cuerpo al fichero.
Instrucciones de eliminación
Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, siga las siguientes instrucciones para eliminarlo: 1.
Eliminar el archivo original del troyano (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
2.
Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
b. Virus de macro No se encontró c. Virus de script
Worm.VBS.Netlog.l Otras versiones: .k Alias
Worm.VBS.Netlog.l (Kaspersky Lab) También conocido como: VBS.Netlog.l (Kaspersky Lab), VBS/Netlog.worm (NAI), VBS.Cable (NAV), VBS/CableA (Sophos), VBS/Netlog.L* (RAV), VBS_CABLE.A (PCCIL), VBS/Netlog.L (H+BEDV), VBS/Netlog.B (FP ROT), VBS:Malware (AVAST), VBS/Netlog (AVG), VBS.Netlog.I (BitDef7), VBS/Netlog.L (Nod32)
Descripción agregada 26 jul 2007
Comportamiento
VBSViruses
Detalles técnicos Daños Instrucciones de eliminación
Detalles técnicos El tamaño de este gusano es de 2.282 bytes. Está escrito en Visual Basic Script (VBS). Se propaga copiándose a sí mismo en los ordenadores de la red local. Daños
Al iniciarse el gusano escoge en la red una dirección IP al azar cuyo primer octeto sea igual a 65 (por ejemplo, 65.24.52.0) y trata de conectarse a todos los ordenadores de esta red, probando cambiar el último octeto de la dirección IP desde 1 hasta 255. En caso de conectarse, en los ordenadores infectados se agrega un nuevo disco de red con el nombre de X. Después, el gusano copia los ficheros:
c:\windows\startm~1\programs\startup\_chubby.vbs c:\sys32.exe al directorio de autoinicio del disco de red:
x:\windows\startm~1\programs\startup El fichero c:\sys32.exe también se copia al directorio raíz del disco de red X. Después de lo cual el disco se desconecta.
Instrucciones de eliminación
Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, siga las siguientes instrucciones para eliminarlo: 1.
Terminar el proceso del troyano con el Administrador de Tareas.
2.
Eliminar el archivo original del gusano (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
3.
Encontrar y eliminar los siguientes ficheros de todos los directorios:
4. _chubby.vbs sys32.exe 5.
Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
Worm.VBS.Netlog.k Otras versiones: .l Alias
Worm.VBS.Netlog.k (Kaspersky Lab) También conocido como: VBS.Netlog.k (Kaspersky Lab), VBS/Netlog.worm (NAI), VBS.Network (NAV), VBS/NetlogB (Sophos), VBS_NETLOGI.A (PCCIL), VBS/Netlog #1 (H+BEDV), VBS/Netlog.K (FPROT), VBS:Netlog (AVAST), VBS/Netlog (AVG), VBS.Netlog.D (BitDef7) , VBS.Netlog.B (Clamav), VBS/NetLog.E (Panda)
Descripción agregada 26 jul 2007
Comportamiento
VBSViruses
Detalles técnicos Daños Instrucciones de eliminación
Detalles técnicos El tamaño de este gusano es de 2.282 bytes. Está escrito en Visual Basic Script (VBS). Se propaga copiándose a sí mismo en los ordenadores de la red local. Daños
Al iniciarse el gusano escoge en la red una dirección IP al azar cuyo primer octeto sea igual a 24 (por ejemplo, 24.91.52.0) y trata de conectarse a todos los ordenadores de esta red, probando cambiar el último octeto de la dirección IP desde 1 hasta 255. En caso de conectarse, en los ordenadores infectados se agrega un nuevo disco de red con el nombre de X. Después, el gusano copia los ficheros:
c:\windows\startm~1\programs\startup\tovbs.vbs c:\windows\startm~1\programs\startup\tovbs.exe al directorio de autoinicio del disco de red:
z:\windows\startm~1\programs\startup Después de lo cual el disco se desconecta. Durante sus actividades en el ordenador del usuario, el gusano crea un fichero donde escribe la información sobre el trabajo efectuado:
c:\my.log El peligro que representa este gusano es muy bajo, porque su propagación es muy lenta. La búsqueda del ordenador-víctima toma bastante tiempo, aparte de que la mayor parte de los equipos, por lo general, no se conectan a la red de la forma que el gusano necesita.
Instrucciones de eliminación
Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, siga las siguientes instrucciones para eliminarlo: 1.
Terminar el proceso del troyano con el Administrador de Tareas.
2.
Eliminar el archivo original del gusano (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
3.
Encontrar y eliminar los siguientes ficheros de todos los directorios:
4. tovbs.vbs tovbs.exe 5.
Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
Virus.BAT.Bomgen Alias
Virus.BAT.Bomgen (Kaspersky Lab) También conocido como: BAT.Bomgen (Kaspersky Lab), Bat/Pilth (NAI), BAT.BWG@mm (NAV), Worm:BAT/Pfilth* (RAV), BAT_FILTH.A (PCCIL), BAT/Pfilt.A (FP ROT), BV:Malware (AVAST), VBS.Pfilth.A@mm (BitDef7), Bat.Bomgen (Clamav), BAT/Pfilt (Panda), BA T/Pfilth.A (Nod32)
Detección agregada
01 nov 2005 11:43 GMT
Actualización lanzada 01 nov 2005 13:36 GMT
Descripción agregada 12 jul 2007
Comportamiento
BATViruses
Detalles técnicos Daños Instrucciones de eliminación
Detalles técnicos
El programa es un archivo de paquetes (archivo BAT). Daños
%Windir%\setupset.bat %Windir%\helpinit.vbs %Windir%\regsys.js %Windir%\SYSZAAcc.bat %Windir%\WinEffHj.vbs %Windir%\4ieny5iC %Windir%\2HVjzBPf El virus también crea los siguientes ficheros:
%Temp%\wVbcg8IS.wj — 64 bytes in size;
%Temp%\FqvC2WD.vbs — 436 bytes in size;
%Windir%\jKmmOCFG.js — 3, 322 bytes in size.
Instrucciones de eliminación
Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, siga las siguientes instrucciones para eliminarlo: 1.
Eliminar el archivo original del troyano (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
2. %Windir%\setupset.bat 3. %Windir%\helpinit.vbs 4. %Windir%\regsys.js 5. %Windir%\SYSZAAcc.bat 6. %Windir%\WinEffHj.vbs 7. %Temp%\wVbcg8IS.wj 8. %Temp%\FqvC2WD.vbs %Windir%\jKmmOCFG.js %Windir%\4ieny5iC %Windir%\2HVjzBPf
9.
Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
III. Programas Troyanos (caballos de Troya) Puertas traseras (backdoors)
Backdoor.Win32.Breplibot.b Detección agregada
10 nov 2005 10:08 GMT
Actualización lanzada 10 nov 2005 10:42 GMT
Descripción agregada 07 jul 2006
CME-ID
CME-589
Comportamiento
Backdoor
Detalles técnicos
Este programa puede ser usado para administrar a distancia el ordenador de la víctima usando los canales IRC. El programa en sí mismo es un archivo PE EXE de 10240 bytes de Windows de un archivo 10240 comprimido usando UPX. Al ser descomprimido tiene un tamaño aproximado de 312 KB. El gusano backdoor fue distribuido usando el correo masivo como tecnología.
Instalación Una vez ejecutado, el backdoor se copia a sí mismo en el directorio del sistema de Windows como "$sys$drv.exe":
%System%\$sys$drv.exe Esto posibilita que el programa malicioso sea ocultado usando la tecnología rootkit implementada por Sony. Sin embargo, el programa será ocultado solo si la protección DRM implementada por Sony en ciertos CD de audio está funcionando en el equipo de la victima.
Una vez ejecutado, el backdoor crea en el sistema el siguiente registro ejecutable :
[HKCU\WkbpsevaXImgvkwkbpXSmj`kswXGqvvajpRavwmkjXVqj] "$sys$drv"="$sys$drv.exe" También crea los siguientes identificadores únicos para señalar su presencia en el sistema.
"SonyEnabled" "#$$sys$drv>.exe " Después de hacer todo esto, el archivo ejecutable original se elimina.
Carga útil El backdoor se conecta con los canales del IRC enumerados abajo para esperar órdenes:
152.7.24.186 24.210.44.45 35.10.203.93 67.171.67.190 68.101.14.76 Esto proporciona al hacker acceso completo al ordenador de la víctima, acceso a la información guardada en el mismo y permite descargar, ejecutar y eliminar archivos a distancia. El programa es también capaz de evadir la detección del cortafuego (firewall) de Windows. Se agrega a sí mismo a la lista de programas permitidos, de modo que sus acciones no sean bloqueadas por el cortafuego (firewall).
Trojan-SMS.J2ME.Smarm.c Detección agregada
01 feb 2008 13:31 GMT
Descripción agregada 08 feb 2010
Comportamiento
Trojan
Detalles técnicos Daños Instrucciones de eliminación
Detalles técnicos
Este troyano infecta los teléfonos móviles de todas las marcas que tengan Java (J2ME). Intenta enviar mensajes de texto SMS desde los aparatos infectados a números de pago sin el conocimiento ni consentimiento del usuario. El programa es una aplicación Java comprimida con JAR. El nombre del paquete comprimido puede variar. Tiene un tamaño de 1.649 a 270 bytes. El comprimido contiene los siguientes archivos:
MANIFEST.MF es un archivo de servicio que contiene información sobre la aplicación, incluyendo un prefijo para el SMS y los números de pago a los que se enviarán los SMS. Este archivo tiene un tamaño de 318-351 bytes.
Ico.png es el icono de la aplicación (95-4.629 bytes de tamaño);
go.class es un archivo malicioso que intenta enviar mensajes SMS (2.217 bytes de tamaño);
.Timestamp (9 bytes de tamaño). Daños
El troyano se propaga en sitios WAP camuflado como varios programas supuestamente útiles, como por ejemplo, un antivirus o un programa para abonar dinero a una cuenta telefónica gratuitamente. La aplicación se instala en el teléfono con varios nombres. Cuando se ejecuta, el programa malicioso procede a enviar un mensaje SMS con un texto determinado al número 3649. El SMS cuesta 10$ (unos 270 RUR). El programa no realiza ninguna otra actividad maliciosa.
Instrucciones de eliminación 1. 2.
Si el programa se instaló en un teléfono móvil regular, se lo puede eliminar usando herramientas estándar. Si el programa se instaló en un smartphone, el usuario puede borrarlo usando herramientas estándar o Kaspersky Mobile Security con sus bases de datos antimalware actualizadas.
Trojan.JS.ExitW.b Otras versiones: .a Alias
Trojan.JS.ExitW.b (Kaspersky Lab) También conocido como: JS/Wipe (NAI), JS.HTADropper (NAV), Troj/ObjectID-
A (Sophos), JS/RunScript.dr.gen* (RAV), JS_EXITW.A.DR (PCCIL), JSc/ExitW.B1 (H+BEDV), VBS/WSR unner.E (FPROT), VBS:Malware (AVAST), JS.Trojan.ExitW.B (BitDef7), JScr.ExitW.B1 (Clamav), JS/Troj an.ExitW.B (Panda), JS/ExitW.B (Nod32)
Descripción agregada 25 abr 2007
Comportamiento
Trojan
Detalles técnicos Daños Instrucciones de eliminación
Detalles técnicos Programa troyano. Es una secuencia de instrucciones en JavaScript. Está contenido en páginas WEB. Su tamaño es de 1.476 bytes. Daños
El troyano, utilizando el objeto "ScriptletTypeLib" crea un archivo que se inicia junto con Windows:
%WinDir%\Start Menu\Programs\StartUp\winmem.hta Este archivo contiene una instrucción que apaga Windows.
Instrucciones de eliminación
Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, sigua las siguientes instrucciones para eliminarlo: 1.
Eliminar el archivo original del troyano (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
2.
Eliminar el archivo:
%WinDir%\Start Menu\Programs\StartUp\winmem.hta 3.
Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
Trojan-PSW.VBS.Half Alias
Trojan-PSW.VBS.Half (Kaspersky Lab) También conocido como: Trojan.PSW.VBS.Half (Kaspersky Lab), VBS/PWStealer (NAI), PWLsteal.Trojan (NAV), VBS/Half* (RAV), VBS_HALF.A (PCCIL), VBS/PWStealer .A (FPROT), VBS:Malware (AVAST), VBS.Trojan.PWstealer.C (BitDef7), Trojan Horse (Panda), VBS/PSW.Half (Nod32)
Descripción agregada 28 nov 2007
Comportamiento
PSW-Trojan
Detalles técnicos Daños Instrucciones de eliminación
Detalles técnicos
Este troyano es un virus VBScript que roba contraseñas a los usuarios. .El tamaño del archivo es de 977 bytes. El troyano puede encontrarse en las páginas web y roba contraseñas de los sistemas Win9x .
Daños
Cuando se abre una página que contiene el código malicioso, el troyano analiza los directorios en la unidad de disco C:\ en busca de los archivos con extensión *.pwl. (Estos archivos son utilizados en los sistemas Win9x para almacenar las contraseñas de los usuarios). Luego utiliza objetos ActiveXObject ―MSMAPI.MAPISession‖ para enviar las contraseñas al usuario remoto malicioso a la dirección onehalf***[email protected]. El ―Tema‖ tiene el siguiente mensaje: "this is test for lame" Y contiene el siguiente texto: "hello my friend(c)onehalf***4:".
Instrucciones de eliminación 1.
Elimine la pagina HTML que contiene el código malicioso.
2.
Actualice la base de datos de su antivirus y lleve a cabo un análisis completo de su ordenador (descargue una versión de prueba de Kaspersky Anti-Virus)
Trojan-Clicker.Win32.VB.b Otras versiones: .bg, .bw
Alias
Trojan-Clicker.Win32.VB.b (Kaspersky Lab) También conocido como: TrojanClicker.Win32.VB.b (Kaspersky Lab), Trojan Horse (NAV), Troj/TclickB (Sophos), TrojanClicker:Win32/VB.B (RAV), TROJ_CLICKERVB.B (PCCIL), TR/Clicker.VB.B (H+BEDV), Trojan.Clicker.VB.B (BitDef7), Trojan Horse (Panda), Win32/TrojanClicker.VB.B (Nod32)
Descripción agregada 03 ago 2007
Comportamiento
TrojanClicker
Detalles técnicos Daños Instrucciones de eliminación
Detalles técnicos
Programa troyano creado para abrir páginas en la ventana de Internet Explorer sin que el usuario se dé cuenta. El programa es una aplicación Windows (fichero PE EXE). Su tamaño es de 29.184 bytes. Está escrito en Visual Basic.
Instalación Al ejecutarse, el troyano copia su cuerpo al siguiente directorio bajo el nombre "EXEC.exe‖:
%System%\VMM32\AUTOEXEC\EXEC.exe Con el objetivo de iniciarse automáticamente cada vez que se inicie Windows, el troyano agrega un enlace a este fichero ejecutable en la llave de autoinicio del registro del sistema:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "AUTOEXEC" = "%System%\VMM32\AUTOEXEC\EXEC.exe hidden"
Daños
El troyano envía una solicitud al sitio:
http://www.angelfire.com/geek/bestjavascripts/v/***.rld
En esta página hay una dirección de las páginas que el troyano abrirá en la ventanas emergentes de Internet Explorer. En el momento en que escribíamos esta descripción, en la página se encontraban enlaces a los siguientes sitios:
http://bestjavascripts.xug.net/**** http://www.skins4msn.web1000.com/****
Instrucciones de eliminación
Si su ordenador no contaba con la protecci³Rn de un antivirus y se contagi³R con la nueva versi³Rn de este programa nocivo, siga las siguientes instrucciones para eliminarlo:
Eliminar el archivo original del troyano (su ubicaci³Rn en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
Eliminar los ficheros creados por el troyano:
%System%\VMM32\AUTOEXEC\EXEC.exe
Eliminar el siguiente parametro de la llave del registro:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "AUTOEXEC" = "%System%\VMM32\AUTOEXEC\EXEC.exe hidden"
Hacer un an³?lisis completo del ordenador usando Kaspersky Anti-Virus con las ³?ltimas actualizaciones de sus bases antivirus (Descargar versi³Rn de prueba).
Trojan-Downloader.JS.Agent.ex Detección agregada
27 abr 2007 15:55 GMT
Actualización lanzada 27 abr 2007 17:56 GMT
Descripción agregada 12 jul 2007
Comportamiento
TrojanDownloader
Detalles técnicos Daños Instrucciones de eliminación
Detalles técnicos Programa troyano que, sin que el usuario se dé cuenta, descarga desde Internet otros programas y los ejecuta. El tamaño de los componentes del troyano puede ser de 7 a 19 kilobytes. Está escrito en JavaScript Daños
Al ejecutarse, el troyano descarga un archivo de la siguiente dirección:
http://www.tankersite.com/1/*****/zerr.exe En el momento de la creación de esta descripción, el enlace a la dirección mencionada no funcionaba. El fichero descargado se guarda como:
C:\1.exe y se lo inicia.
Instrucciones de eliminación
Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, siga las siguientes instrucciones para eliminarlo: 1.
Eliminar el archivo original del troyano (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
2.
Eliminar el archivo:
C:\1.exe 3.
Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
Trojan-Dropper.MSWord.Lafool.v Detección agregada
31 oct 2006 07:22 GMT
Descripción agregada 02 nov 2006
Comportamiento
TrojanDropper
Detalles técnicos
Daños Instrucciones de eliminación
Detalles técnicos
Programa troyano, creado para instalar de forma disimulada otros programas troyanos en el sistema. Es un documento Microsoft Word que contiene un macros. El tamaño del documento Microsoft Word que hemos analizado es de 205.824 bytes. Durante cada ejecución de Microsoft Word (AutoExec) y al abrir el documento en formato Microsoft Word (AutoOpen y Document_Open) se lanza la función del módulo principal del troyano.
Daños
El troyano descifra las líneas del texto de la función, para después guardar el resultado en un fichero en la raíz del disco C: bajo el nombre de "LS060E5.EXE": C:\LS060E5.eXE (tamaño 27 648 bytes) Kaspersky Anti-Virus detecta este archivo como Trojan-PSW.Win32.LdPinch.bbg. Después se ejecuta el archivo.
Instrucciones de eliminación 1.
Comprobar la presencia en el disco C: del fichero "LS060E5.eXE" y eliminarlo: C:\LS060E5.eXE
2.
Cerrar todas los programas de Microsoft Office.
3.
Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (>descargar versión de prueba).
Trojan-Proxy.Win32.Delf.ab Detección agregada
03 ago 2005 21:35 GMT
Actualización lanzada 03 ago 2005 23:06 GMT
Descripción agregada 14 jun 2007
Comportamiento
TrojanProxy
Detalles técnicos Daños Instrucciones de eliminación
Detalles técnicos
Programa troyano que ejecuta un servidor proxy en el ordenador del usuario. Es un programa para Windows (fichero PE-EXE). Su tamaño es de 239.616 bytes.
Instalación Después de iniciarse, el programa copia su fichero ejecutable al catálogo raíz de Windows:
%WinDir%\services.exe Con el objetivo de iniciarse automáticamente cada vez que se inicie Windows, el troyano agrega un enlace a su fichero ejecutable en la llave de autoinicio del registro del sistema:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] Shell = "Explorer.exe
%WinDir%\services.exe"
Daños El troyano ejecuta en el ordenador del usuario un servidor proxy usando un puerto TCP elegido al azar. Después, se registra en el sitio del delincuente y le comunica el número del puerto abierto. A continuación, el ordenador del usuario puede ser usado por los delincuentes para disimular su trabajo en la red.
Instrucciones de eliminación
Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, siga las siguientes instrucciones para eliminarlo: 1.
Terminar el proceso del troyano con el Administrador de Tareas.
2.
Eliminar el archivo original del troyano (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
3.
Modificar el valor del parámetro del registro con el siguiente valor:
4. [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] Shell = "Explorer.exe" 5.
Eliminar el archivo:
%WinDir%\services.exe 6.
Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
Trojan-Spy.HTML.Bankfraud.qe Detección agregada
21 sep 2006 10:19 GMT
Actualización lanzada 21 sep 2006 13:46 GMT
Descripción agregada 06 oct 2006
Comportamiento
TrojanSpy
Detalles técnicos
Programa troyano que utiliza la tecnología "spoofing". Realizada en forma de página HTML falsificada. Roba la información confidencial de los clientes del Bank of America. Se envía por correo electrónico aparentando ser un mensaje importante:
El mensaje contiene un enlace que aprovecha la vulnerabilidad Frame Spoof en Internet Explorer. La vulnerabilidad Frame Spoof (MS04-004) existen en las versiones 5.x y 6.x de Microsoft Internet Explorer. La compañía Microsoft ha publicado un documento especial, dónde se da una definición de la vulnerabilidad y recomendaciones para reconocer este tipo de enlaces falsificados. Al llegar al sitio web falsificado, los usuarios escriben los datos de sus cuentas, que luego son enviados a los delincuentes, que pueden obtener acceso ilimitado a la administración de la cuenta del usuario.
IV. Otro programas maliciosos
DoS.Linux.Front Alias
DoS.Linux.Front (Kaspersky Lab) También conocido como: Perl/Front (NAI), Perl.Frontp (NAV), Troj/Front (Sophos), PERL/Front* (RAV), PERL_LFRONT.A (PCCIL), Unix/Front.A (FPROT), UNIX:Malware (AVAST), PERL.Front.A (BitDef7), DoS Program (Panda), Linux/DoS.Front.A (Nod32)
Descripción agregada 15 may 2007
Comportamiento
DoS
Detalles técnicos Daños Instrucciones de eliminación
Detalles técnicos Programa nocivo destinado a realizar ataques DoS (Denial of Service) contra un servidor remoto. Es una secuencia de instrucciones nocivas escrita en Perl. Su tamaño es de 988 bytes. Daños
Este programa realiza ataques DoS contra un ordenador remoto, cuya dirección la indica el delincuente como un parámetro de entrada al iniciar el utilitario. Como resultado del funcionamiento del programa, en el servidor atacado pueden surgir problemas con los servicios de red.
Instrucciones de eliminación
Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, siga las siguientes instrucciones para eliminarlo: 1.
Eliminar el archivo original del programa nocivo (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
2.
Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
DoS.Perl.Httux Alias
DoS.Perl.Httux (Kaspersky Lab) También conocido como: Perl/Exploit.gen (NAI), Hacktool.DoS (NAV), Troj/ByteFusA (Sophos), DoS:PERL/Httux.A* (RAV), Unix/Tuxhttpd@expl (FPROT), UNIX:Malware (AVAST), DoS.Per l.Httux (Clamav), DoS Program (Panda), Perl/DoS.Httux (Nod32)
Descripción agregada 24 abr 2007
Comportamiento
DoS
Detalles técnicos Daños Instrucciones de eliminación
Detalles técnicos Programa nocivo destinado a realizar ataques DoS (Denial of Service) contra un servidor remoto. Es una secuencia de instrucciones nocivas escrita en Perl. Su tamaño es de 928 bytes. Daños
Aprovechando la vulnerabilidad de rebalsamiento del buffer durante el procesamiento de una solicitud incorrecta al servidor web TUX, el programa nocivo ejecuta ataques DoS contra un ordenador remoto. La dirección del ordenador a ser atacado la indica el delincuente al iniciar el programa. Como resultado del funcionamiento del programa, en el servidor atacado pueden surgir problemas con los servicios de red.
Instrucciones de eliminación
Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, siga las siguientes instrucciones para eliminarlo: 1.
Eliminar el archivo original del programa nocivo (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
2.
Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
Exploit.PHP.Inject.f Detección agregada
15 jun 2007 14:14 GMT
Actualización lanzada 15 jun 2007 15:36 GMT
Descripción agregada 11 jul 2007
Comportamiento
Exploit
Detalles técnicos Daños Instrucciones de eliminación
Detalles técnicos Exploit destinado a robar información confidencial de las bases de datos de las aplicaciones Web. Es una secuencia de instrucciones PHP (fichero PHP). Su tamaño es de 1610 bytes. No está empaquetado de ninguna forma. Está escrito en PHP. Daños
El programa nocivo utiliza una vulnerabilidad que permite implementar una solicitud SQL como parámetro de aplicación Web. Esta modificación de la secuencia de instrucciones efectúa la solicitud en la base de datos del sitio especializado en transferencias de dinero:
http://www.onlinefx.co.uk El objetivo del delincuente es recibir información sobre las transacciones de los clientes. Los datos obtenidos se guardan en los siguientes ficheros, dependiendo de su modificación:
trans1.txt orders.txt
Instrucciones de eliminación
Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, siga las siguientes instrucciones para eliminarlo: 1.
Eliminar el archivo original del programa nocivo (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
2.
Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
Email-Flooder.Win32.FriendGreetings
Alias
Email-Flooder.Win32.FriendGreetings (Kaspersky Lab) También conocido como: Flooder.MailSpam.FriendGreetings (Kaspersky Lab), W32.Friendgreet.worm (NAV), I-Worm/Siyam (AVG)
Descripción agregada 10 jul 2006
Comportamiento
Flooder
Detalles técnicos
Advert.FriendGreetings es una tarjeta postal de correo electrónico que una vez instalada, a diferencia de otros programas similares, envía correos-e a todas las direcciones encontradas en la libreta de direcciones de Microsoft del ordenador de la víctima. Esta característica desagradable hizo que algunas compañías antivirus clasifiquen este programa como "gusano". Si un usuario hace clic en el vínculo que encontró en el correo electrónico el proceso de instalación comienza. Durante la instalación, el programa exhibe un certificado de autenticidad. Si el usuario acepta la firma electrónica, tiene la opción de mirar el acuerdo de licencia (EULA). Si un usuario cualquiera discrepa con el acuerdo de licencia o no confía en el certificado, la instalación del programa termina. Certificado de autenticidad: verifying "safe content"!
Cuando un usuario acepta el acuerdo de licencia (haciendo clic en el recuadro ―Yes‖) el programa está instalado en su ordenador y ―Advert.FriendGreetings" procede a enviar mensajes a todas las direcciones que encuentra en la libreta de direcciones de Microsoft Outlook. Acuerdo de
licencia Los mensajes de correo muestran lo siguiente: Subject: %recipient% you have an E-Card from %sender%. Message: Greetings! %sender% has sent you an E-Card -- a virtual postcard from FriendGreetings.com. You can pickup your ECard at the FriendGreetings.com by clicking on the link below. http:/ /www.friendgreetings.com/pickup/pickup.aspx? Message: -----------------------------------------------------------%recipient%M I sent you a greeting card. Please pick it up. %sender% -----------------------------------------------------------When this software installs it adds the following registry keys: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "PMedia"="C:\Program Files\Common Files\Media\winsrvc.exe"
Nuker.Win32.Nonuker
Alias
Nuker.Win32.Nonuker (Kaspersky Lab) También conocido como: Trojan Horse (NAV), Trojan.Retro (DrWeb), Troj/WinNukeC (Sophos), Trojan:Win32/Nuker.E (RAV), TROJ_NUKER.E (PCCIL), Win95:NukeC (AVAST), Trojan.Win32.Nuker.E (BitDef7), Nuker.Nonuke (Clamav), Trj/W32.Nuker.C (Panda), Win32/ Nuker.e (Nod32)
Descripción agregada 24 oct 2006
Comportamiento
Nuker
Detalles técnicos Daños Instrucciones de eliminación
Detalles técnicos Es un programa que "escucha" el puerto 139. Es una aplicación para Windows (Archivo PE EXE). Tiene un tamaño de 238.592 bytes. Está escrito en Borland Delphi. Daños
El programa se usa para la depuración o investigación de los programas de red que funcionan en el puerto 139. Tiene la siguiente interfaz gráfica:
El programa tiene tres elementos gráficos del tipo CommandButton:
"Activate" – inicia la "audición del puerto 139 "About" – visualiza el siguiente mensaje:
- "Deactivate" – finaliza la "audición del puerto 139. El programa pasa al régimen de espera.
Instrucciones de eliminación 1.
Eliminar el archivo original del troyano (su ubicación en el ordenador infectado depende del modo en que el troyano haya penetrado en el equipo).
2.
2. Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
V. Non-malware
Programas afines a los programas maliciosos Esta categoría es difícil de definir, ya que incluye cualquier programa legal que los hackers pueden usar para penetrar a un ordenador. Es imposible predecir qué programas entrarán en esta categoría, ya que todo depende del ingenio que demuestre la comunidad informática clandestina. Una vez que un hacker identifica un programa que puede serle útil, puede cargarlo sin el conocimiento o consentimiento del usuario a su equipo y tomar el control del mismo, sin ser detectado por los antivirus u otro software de seguridad. Si se usa hábilmente un programa legal para fines ilegales, puede ser en extremo difícil detectarlo.
Marcadores (dialers) Descargadores (downloaders) Servidores FTP Servidores proxy Servidores Telnet Servidores Web Clientes de IRC Herramientas de recuperación de contraseñas (PSWTool) Herramientas de administración remota (RemoteAdmin) Herramientas Crackers Bromas pesadas y mensajes falsos
Marcadores (dialers) Estos programas no causan daño al equipo en que son instalados. Sin embargo, si no son detectados y eliminados, pueden causar serias consecuencias financieras. Los propietarios de sitios web usan estos programas para hacer que los equipos infectados efectúen llamadas a sitios (teléfonos) de pago. Con gran
frecuencia son sitios pornográficos. Aunque no se causan daños al ordenador, una gran factura de teléfono hace que estos programas no sean del agrado de los propietarios de ordenadores y redes. Los marcadores son de dos tipos: Marcadores troyanos y marcadores maliciosos. Los marcadores troyanos se instalan sin el conocimiento ni el consentimiento del usuario y hacen llamadas a sitios de pago de forma automática. Los marcadores peligrosos, por otra parte, notifican al usuario sobre las llamadas que se están haciendo y su coste. Estos marcadores pueden ser desinstalados usando procedimientos estándard. Se puede clasificar como malicioso a este segundo grupo, ya que la instalación inicial ocurre sin el consentimiento del usuario. Sin embargo, dan al usuario la posibilidad de decidir las acciones a realizar.
Descargadores (downloaders) Incluso los gestores de descarga (downloaders) pueden ser peligrosos, porque por lo general se programan para funcionar en segundo plano, sin la intervención directa del usuario. Para un hacker es fácil sustituir los enlaces para dirigir al programa hacia recursos infectados, haciendo que los programas maliciosos sean descargados al equipo víctima sin que el usuario se dé cuenta.
Servidores FTP Son utilidades que se pueden usar para obtener acceso a archivos remotos. Una vez que un hacker las instala en un sistema, hace posible que los usuarios remotos descarguen cualquier archivo del equipo víctima y monitoreen las actividades en el ordenador infectado.
Servidores proxy Estas utilidades en un principio se diseñaron para proteger las redes internas, separando las direcciones internas de los usuarios externos. No obstante, los hackers las usan para conectarse a Internet de forma anónima. La dirección real del hacker se sustituye por la dirección del servidor proxy.
Servidores Telnet Estas utilidades se diseñaron para proporcionar acceso remoto a los recursos ubicados en otros equipos. Los hackers las usan para obtener acceso total a los equipos víctimas.
Servidores Web Los servidores web proporcionan acceso a las páginas web ubicadas en un área determinada del sistema de archivos. Los hackers las usan para obtener acceso irrestricto al sistema de archivos del equipo de la víctima.
Clientes de IRC Estas utilidades proporcionan acceso a los canales de IRC. Muchos clientes de IRC, en particular mIRC, incorporan potentes lenguajes de script que automatizan al cliente IRC. Esta prestación se puede explotar para escribir troyanos y gusanos de IRC. Mientras instalan un troyano IRC en un equipo víctima, los hackers con frecuencia también instalan un cliente IRC.
Monitor Son utilidades legales que monitorean las actividades del ordenador y del usuario. En el mercado existen versiones comerciales de este tipo de utilidad. Normalmente, la información de las actividades se guarda en el disco duro o se envía a las direcciones de correo electrónico especificadas. Los programas de monitoreo se
diferencian de los troyanos espías sólo en que éstos no disimulan su presencia en el sistema y es posible desinstalarlos.
Herramientas de recuperación de contraseñas (PSWTool) Sirven para recuperar contraseñas perdidas u olvidadas. Por lo general, muestran información sobre la contraseña en la pantalla, o la guardan en el disco duro. Cuando se realiza un ataque, esta información es enviada al atacante remoto.
Herramientas de administración remota (RemoteAdmin) Estas herramientas de administración remota proporcionan a los hackers un control completo sobre el equipo víctima.
Herramientas Esta categoría incluye otros programas gratuitos o comerciales que con frecuencia se usan con fines maliciosos.
Crackers Estos programas no son virus ni troyanos, sino herramientas que usan los hackers para "piratear" diferentes tipos de software. Por lo general no representan peligro para los programas instalados y su función se reduce a eliminar la protección contra copia o introducir una clave "pirateada" en los programas.
Bromas pesadas y mensajes falsos (Hoaxes) Este grupo incluye programas que no causan ningún daño directo a los equipos que infectan. No obstante, muestran advertencias falsas sobre supuestos daños ocurridos o por ocurrir. Pueden ser mensajes advirtiendo a los usuarios de que los discos se han formateado, que se ha encontrado un virus o se han detectado síntomas de infección. Las posibilidades son limitadas sólo por el sentido del humor del autor del virus.