W32/Bagle.AI. Se propaga por e-mail y P2PNombre: W32/Bagle.AI
Tipo: Gusano de Internet
Alias: Bagle.AI, W32/Bagle.ai@MM, W32/Bagle-AI, Win32/Bagle.AI, I-Worm.Bagle.ai
Fecha: 19/jul/04
Plataforma: Windows 32-bit
Tamaño: variable (agrega basura para aumentar su tamaño)
Puertos: TCP/1080 y UDP/1040
Variante del Bagle (gusano escrito en Visual C), detectado el 19 de julio de 2004 y de gran propagación. Su código está basado en el código fuente distribuido por otras versiones del propio gusano.
Los adjuntos poseen extensiones .EXE, .SCR, .COM, .CPL o .ZIP, en éste último caso con contraseñas generadas al azar, la cuál se muestra al usuario en una imagen también adjunta. Esto pretende eludir la detección de los antivirus.
Además de propagarse a través del correo electrónico, lo hace por redes P2P, copiándose en carpetas utilizadas por varios de esos programas para compartir archivos con otros usuarios (KaZaa, Bearshare, Limewire, etc.)
Puede enviarse a todas las direcciones de correo obtenidas de diferentes archivos de la máquina infectada. En todos los casos el remitente que figura en el mensaje es falso.
Posee además un componente de acceso por puerta trasera (backdoor), y además finaliza la ejecución de varios antivirus y cortafuegos.
Más información:
http://www.vsantivirus.com/bagle-ai.htmW32/Bagle.AH. Se propaga por e-mail y P2PNombre: W32/Bagle.AH
Tipo: Gusano de Internet
Alias: Bagle.AH, I-Worm.Bagle.ah, W32.Beagle.AD@mm, W32/Bagle.AH.worm, W32/Bagle.ah@MM, Win32.Bagle.AD, Win32/Bagle.AH, WORM_BAGLE.AH, ZIP.Bagle, I-Worm.Bagle.ag, W32/Bagle.AH@mm
Fecha: 18/jul/04
Plataforma: Windows 32-bit
Tamaño: 16,896 bytes (agrega basura para aumentar su tamaño)
Puertos: TCP/1234
Variante recomprimida con la utilidad UPX del Bagle.AD, detectada el 18 de julio de 2004.
Gusano escrito en Visual C, que se propaga por correo electrónico, en adjuntos que poseen extensiones .COM, .CPL, .EXE, .HTA, .SCR, .VBS, o .ZIP, en éste último caso con contraseñas generadas al azar, la cuál se muestra al usuario en una imagen también adjunta. Esto pretende eludir la detección de los antivirus.
También intenta propagarse por redes P2P, copiándose en carpetas utilizadas por varios de esos programas para compartir archivos con otros usuarios (KaZaa, Bearshare, Limewire, etc.)
Utiliza varios mutex para prevenir que el gusano W32/Netsky y sus variantes, puedan ejecutarse.
El gusano agrega su propio código fuente en assembler, encriptado en su interior. Esto puede facilitar la aparición de nuevas variantes.
Puede enviarse a todas las direcciones de correo obtenidas de diferentes archivos de la máquina infectada.
Más información:
http://www.vsantivirus.com/bagle-ah.htmW32/Forbot. Gusano y Caballo de Troya de acceso remotoNombre: W32/Forbot
Tipo: Gusano y Caballo de Troya de acceso remoto
Alias: Forbot, Backdoor.ForBot.a, Backdoor.ForBot.d, Backdoor.ForBot.e, Backdoor.ForBot.f, Backdoor.ForBot.gen, Backdoor.IRC.Bot, W32.HLLW.Gaobot.gen, W32.IRCBot.Gen, W32.Spybot.Worm, W32/Gaobot.worm.gen.g, W32/Sdbot.worm.gen, W32/Sdbot.worm.gen.o, Win32.Forbot, Win32.ForBot.A, Win32.ForBot.B, Win32.ForBot.C, Win32.ForBot.D, Win32.ForBot.E, Win32.ForBot.F, Win32.Forbot.G, Win32.Forbot.H, Win32/Agobot.123168.Trojan, Win32/Agobot.Worm, Win32/Forbot.A, Win32/ForBot.A.Worm, Win32/Forbot.C, Win32/Forbot.D, Win32/Forbot.E, Win32/Forbot.F, Win32/ForBot.F.Worm, Win32/Forbot.G, Win32/Forbot.G.Worm, Win32/Forbot.NA, Win32/Forbot.NB, Win32/Forbot.NC, Win32/IDStreal.Worm, Win32/Slinbot.122704.Worm, Win32/SpyBot.351600.Trojan
Fecha: 19/jul/04
Plataforma: Windows 32-bit
Tamaño: 122,700 bytes (variable)
Este troyano con características de gusano, puede ser configurado para permitir el acceso a un atacante a la máquina infectada, utilizando canales de IRC (Internet Relay Chat).
Algunas de sus variantes pueden explotar la vulnerabilidad LSASS de Windows.
Los ejecutables utilizan diferentes compresores (UPX o FSG), lo que hace variar su tamaño final (122,700 bytes).
Algunas variantes se instalan en el directorio System con el siguiente nombre:
c:\windows\system\smsc.exe
Más información:
http://www.vsantivirus.com/forbot.htmW32/Mydoom.O. El mensaje tiene un adjunto .ZIPNombre: W32/Mydoom.O
Tipo: Gusano de Internet
Alias: Mydoom.O, Win32/Mydoom.O, Win32.Atak.C@mm, Win32.Agist.A@mm, WORM_AGIST.A, Agist, Win32/Agist.A, W32/Agist.A
Fecha: 18/jul/04
Plataforma: Windows 32-bit
Tamaño: 14,245 bytes
Gusano que se propaga a través de mensajes electrónicos, cuyo texto es solo basura.
Utiliza su propio motor SMTP, por lo que no depende del cliente de correo instalado.
El nombre del adjunto es generado al azar, y siempre tiene extensión .ZIP.
Los mensajes tienen las siguientes características:
Asunto: [vacío]
Texto del mensaje: [basura y caracteres sin sentido]
Datos adjuntos: [nombre al azar].ZIP (19 Kb)
Cuando el usuario abre el archivo comprimido y hace doble clic sobre su contenido, el gusano crea una copia de si mismo en la carpeta System de Windows, con un nombre también al azar:
c:\windows\system\[nombre al azar].EXE
Más información:
http://www.vsantivirus.com/mydoom-o.htmKrepper.C Gusano que se difunde mediante las redes de intercambio de ficheros P2P (entre pares) Altnet, Morpheus,iMesh, eDonkey2000, LimeWire y Kazaa
Nombre completo: Worm.W32/Krepper.C@P2P
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [P2P] - Se difunde por redes de compartición de ficheros P2P (peer to peer)
Alias:Worm.P2P.Krepper.c (Kaspersky (viruslist.com))
Este virus está escrito en C, y es un ejecutable PE de Windows de unos 17kB de tamaño, comprimido con UPX. Una vez descomprimido tiene un tamaño de unos 45 kB,
Cuando es ejecutado, el gusano comprueba si se está ejecutando VMWare en la máquina víctima. Si es lanzado bajo VMWare, parte de las funciones maliciosas no serán ejecutadas.
Instalación.
El gusano se copia en la carpeta de sistema de Windows (por defecto C: \WINDOWS\system32 en Windows XP) con el nombre sndcfg16.exe. Añade la siguiente entrada al registro para asegurar su ejecución en cada arranque del sistema.
Software\Microsoft\Windows\CurrentVersion\Run
Services = [nombre del gusano]
Propagación
El gusano se difunde mediante redes de intercambio de ficheros P2P. Busca en el registro entradas de los siguientes programas:
Altnet
Morpheus
iMesh
eDonkey2000
LimeWire
Kazaa
Si el gusano detecta un cliente P2P, se copia con un nombre escogido aleatoriamente en una carpeta compartida del programa ( comprobarlas todas en el link de página pues son innumerables)
Para no llamar la atención sobre el hecho de que se está propagando, hace una pausa después de infectar cada programa P2P.
Una vez que una red P2P está infectada, el gusano busca carpetas con los siguientes nombres:
share*
download*
music*
mp3*
Cada 10 minutos, el gusano lanza una infección de rutina afectando a redes P2P.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4094
