W32/Bagle.AD. Se propaga por e-mail y P2PNombre: W32/Bagle.AD
Tipo: Gusano de Internet
Alias: Bagle.AD, I-Worm.Bagle.ad, I-Worm/Bagle.AD, Win32/Bagle.AA.drp, W32.Beagle.Y@mm, W32/Bagle.ad@MM, W32/Bagle.AD.worm
Plataforma: Windows 32-bit
Tamaño: 60,928 bytes (agrega basura para aumentar su tamaño)
Puertos: TCP/1234
Variante del Bagle detectada el 4 de julio de 2004, escrito en Visual C.
Los adjuntos poseen extensiones .COM, .CPL, .EXE, .HTA, .SCR, .VBS, o .ZIP, en éste último caso con contraseñas generadas al azar, la cuál se muestra al usuario en una imagen también adjunta. Esto pretende eludir la detección de los antivirus.
Además de propagarse a través del correo electrónico, lo hace por redes P2P, copiándose en carpetas utilizadas por varios de esos programas para compartir archivos con otros usuarios (KaZaa, Bearshare, Limewire, etc.)
Utiliza varios mutex para prevenir que el gusano W32/Netsky y sus variantes, puedan ejecutarse.
El gusano agrega su propio código fuente en assembler, encriptado en su interior. Esto puede facilitar la aparición de nuevas variantes.
Puede enviarse a todas las direcciones de correo obtenidas de diferentes archivos de la máquina infectada. En todos los casos el remitente que figura en el mensaje es falso.
Posee además un componente de acceso por puerta trasera (backdoor), y además finaliza la ejecución de varios antivirus y cortafuegos.
Cuando se ejecuta por primera vez, muestra un mensaje de error falso:
Error!
Can't find a viewer associated with the file
[ Aceptar ]
Más información:
http://www.vsantivirus.com/bagle-ad.htmW32/Bagle.AE. Se propaga por e-mail y P2PNombre: W32/Bagle.AE
Tipo: Gusano de Internet
Alias: Bagle.AE, I-Worm.Bagle.ad, I-Worm/Bagle.AE, Win32/Bagle.AA.drp, W32.Beagle.Z@mm, W32/Bagle.ae@MM, W32/Bagle.AE.worm.
Plataforma: Windows 32-bit
Tamaño: 67 Kbytes (agrega basura para aumentar su tamaño)
Puertos: TCP/1234
Variante del Bagle.AD (gusano escrito en Visual C), detectado el 5 de julio de 2004. Su única diferencia es que está recomprimido con la herramienta PeX.
Los adjuntos poseen extensiones .COM, .CPL, .EXE, .HTA, .SCR, .VBS, o .ZIP, en éste último caso con contraseñas generadas al azar, la cuál se muestra al usuario en una imagen también adjunta. Esto pretende eludir la detección de los antivirus.
Además de propagarse a través del correo electrónico, lo hace por redes P2P, copiándose en carpetas utilizadas por varios de esos programas para compartir archivos con otros usuarios (KaZaa, Bearshare, Limewire, etc.)
Utiliza varios mutex para prevenir que el gusano W32/Netsky y sus variantes, puedan ejecutarse.
El gusano agrega su propio código fuente en assembler, encriptado en su interior. Esto puede facilitar la aparición de nuevas variantes.
Puede enviarse a todas las direcciones de correo obtenidas de diferentes archivos de la máquina infectada. En todos los casos el remitente que figura en el mensaje es falso.
Posee además un componente de acceso por puerta trasera (backdoor), y además finaliza la ejecución de varios antivirus y cortafuegos.
Cuando se ejecuta por primera vez, muestra un mensaje de error falso:
Error!
Can't find a viewer associated with the file
[ Aceptar ]
Más información:
http://www.vsantivirus.com/bagle-ae.htmW32/Lovgate.AE. Usa e-mail y recursos compartidosNombre: W32/Lovgate.AE
Tipo: Gusano de Internet
Alias: Lovgate.AE, W32.Lovgate.Y@mm, WORM_LOVGATE.AE
Plataforma: Windows 32-bit
Tamaño: 153,600 bytes
Puerto: TCP al azar
Gusano que se propaga masivamente por correo electrónico, y recursos compartidos en redes.
La máquina infectada puede ser accedida por un atacante a través de una puerta trasera instalada por el gusano.
Los mensajes infectados pueden tener adjuntos con extensiones .COM, .EXE, .PIF, .RAR, o .SCR. El mensaje también puede ser la respuesta a un mensaje enviado anteriormente a un usuario que ahora ha sido infectado (no abra adjuntos de usuarios conocidos sin haber confirmado con el remitente su envío, podría ser una respuesta automática del gusano a uno de sus mensajes, en un mensaje infectado).
Utiliza su propio motor SMTP para enviarse a todos los contactos de la libreta de direcciones de Windows y del Outlook, y a todas las direcciones que extrae de archivos con las siguientes extensiones (de los discos duros del C al Y inclusive):
.adb
.asp
.dbx
.htm
.php
.sht
.tbb
.wab
Más información:
http://www.vsantivirus.com/lovgate-ae.htmPsyme.NAE Troyano que sobrescribe el ejecutable del Reproductor Multimedia.
Explota la vulnerabilidad "ADODB.Stream object" del Internet Explorer
Nombre completo: Downloader.VBS/Psyme.NAE
Tipo: [Downloader] - Troyano que descarga ficheros (a través de Internet u otras redes) en el sistema atacado.
Plataforma: [VBS] - Visual Basic Script
Tamaño (bytes): 11340
Alias:VBS/TrojanDownloader.Psyme.NAE (Enciclopedia Virus (Ontinent)), CHM_PSYME.B (Trend Micro), TrojanDownloader.VBS.Psyme.ac (Otros)
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4052Evaman Gusano cuya propagación se realiza a través del envío masivo de correos infectados a direcciones encontradas en el sitio web email.people.yahoo.com.
Llega anexo al mensaje con un fichero de extensión .exe o .scr.
Nombre completo: Worm.W32/Evaman@MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Tamaño (bytes): 14848
Alias:W32.Evaman@mm (Symantec)
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4051P2E Troyano con la capacidad de hacer que el ordenador afectado funcione como servidor proxy, permitiendo a un usuario remoto utilizarlo para realizar diversas acciones maliciosas de forma anónima.
Entre estas acciones están, la emisión de spam, el acceso remoto al equipo infectado y la realización de ataques de Denegación de Servicios.
Nombre completo: Trojan.W32/P2E
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño comprimido (bytes): 42528
Alias:Trj/P2E.A (Panda Software)
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4050PWS-Banker Troyano ladrón de contraseñas que captura las pulsaciones realizadas en el teclado.
La información recogida se envía a través de http al autor del código.
Nombre completo: Keylog.W32/PWS-Banker
Tipo: [Keylog] - Troyano que utiliza diversos métodos para capturar las pulsaciones realizadas por el usuario
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 10416
Alias:PWS-Banker (McAfee)
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4049
