Troj/Banito.F. Roba información del equipo infectadoNombre: Troj/Banito.F
Tipo: Caballo de Troya
Alias: Banito.F, Backdoor.Banito.f, BackDoor.Banito.Q, Backdoor:Win32/Banito.B, Troj/Banito-D, Trojan Horse, Trojan.Banito.F, W32/Banito.F, Win32/Banito.F
Plataforma: Windows 32-bit
Este caballo de Troya obtiene información del sistema infectado, y la envía a un usuario remoto.
El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.
Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios.
Cuando se ejecuta por primera vez, se copia a si mismo con el siguiente nombre, en la carpeta de Windows:
c:\windows\winhost32.exe
Crea la siguiente entrada en el registro para ejecutarse automáticamente en el sistema cada vez que éste se reinicia:
HKLM\SOFTWARE\Microsoft\Active Setup
\Installed Components
\{tb9381D8F2-0288-11D0-9501-00AA00B911A5}
StubPath = c:\windows\winhost32.exe
Más información:
http://www.vsantivirus.com/troj-banito-f.htmTroj/Banito.D. Roba información del equipo infectadoNombre: Troj/Banito.D
Tipo: Caballo de Troya
Alias: Banito.D, BackDoor-CCL, Troj/Banito-D, BDS/Banito.D, ~NEW_VIRUS, BackDoor-CCL, BackDoor-CCL.dll, Win32/Banito.D, Backdoor.Banito.g
Plataforma: Windows 32-bit
Tamaño: 21,835 bytes
Puertos: TCP 1425
Este caballo de Troya obtiene información del sistema infectado, y la envía a un usuario remoto.
El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.
Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios.
Cuando se ejecuta por primera vez, lo hace silenciosamente, sin mostrar ninguna clase de mensaje. Inmediatamente se borra a si mismo de la ubicación actual, y se copia con el siguiente nombre, en la carpeta de Windows:
c:\windows\winhostcfg.exe
Crea la siguiente entrada en el registro para ejecutarse automáticamente en el sistema cada vez que éste se reinicia:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
winhostcfg.exe = c:\windows\winhostcfg.exe
Utiliza el puerto 1425 de la máquina infectada, para intentar conectarse a la dirección IP 151.38.215.100, por el puerto 8000.
Más información:
http://www.vsantivirus.com/troj-banito-d.htmW32/Gaobot.TN. Se copia como "nortonav.exe"Nombre: W32/Gaobot.TN
Tipo: Gusano de Internet y caballo de Troya
Alias: Gaobot.TN, Agobot.TN, WORM_AGOBOT.TN, WORM_AGOBOT.GEN, Backdoor.Agobot.gen, W32/Gaobot.worm.gen, W32.HLLW.Gaobot.gen
Plataforma: Windows NT, 2000 y XP
Puertos: TCP/135, TCP/445, TCP/80
Tamaño: 99,328 bytes (UPX)
Es un gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de conocidas vulnerabilidades:
Falla crítica en servidores Microsoft IIS 5.0 (MS03-007)
MS03-039 Ejecución de código en servicio RPCSS (824146)
Un intruso pueda acceder en forma remota a la computadora infectada, a través del IRC.
Se ejecuta solo en Windows NT, 2000 y XP, e intenta robar contraseñas y claves de conocidos juegos de computadora.
Se copia en el sistema infectado con el siguiente nombre:
c:\windows\system32\nortonav.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Agrega las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
NAV = "nortonav.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
NAV = "nortonav.exe"
Modifica el archivo HOSTS para que los siguientes sitios (ver lista en el link) no puedan ser accedidos desde una máquina infectada:
El gusano roba del PC infectado, los posibles identificadores y llaves (CD keys) de conocidos video juegos.
Posee además un componente de acceso remoto por puerta trasera vía IRC, que permite a un atacante realizar numerosas acciones en el equipo infectado, incluidos ataques de denegación de servicio (DoS), a blancos específicos. Algunas acciones posibles:
Ejecutar comandos en forma remota
Eliminar procesos seleccionados
Examinar el tráfico HTTP, FTP, e IRC (sniffer)
Finalizar servicios de Windows
Listar los procesos activos
Obtener archivos a través de FTP y HTTP
Obtener direcciones de correo de la computadora infectada
Obtener información del registro
Obtener un determinado URL
Realizar ataques del tipo "floods" (HTTP, ICMP, SYN, y UDP)
Reiniciar la computadora
Robar contraseñas
Cuando se ejecuta, puede detener los siguientes procesos (ver lista en el link), algunos de ellos pertenecientes a conocidos antivirus y cortafuegos:
También es capaz de finalizar los siguientes procesos, creados por otros gusanos y troyanos:
bbeagle.exe
i11r54n4.exe
rate.exe
ssate.exe
taskmon.exe
winsys.exe
d3dupdate.exe
El gusano es capaz de ocultar todos los archivos y carpetas cuyo nombre contenga la siguiente cadena:
soun
Más información:
http://www.vsantivirus.com/gaobot-tn.htmW32/Gaobot.OU. Se copia como "svchost2.exe"Nombre: W32/Gaobot.OU
Tipo: Gusano de Internet y caballo de Troya
Alias: Gaobot.OU, Agobot.OU, WORM_AGOBOT.OU, WORM_AGOBOT.GEN, Backdoor.Agobot.gen, W32/Gaobot.worm.gen, W32.HLLW.Gaobot.gen
Plataforma: Windows NT, 2000 y XP
Puertos: TCP/135, TCP/445, TCP/80
Tamaño: 70,366 bytes (UPX)
Es un gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de conocidas vulnerabilidades:
Falla crítica en servidores Microsoft IIS 5.0 (MS03-007)
MS03-039 Ejecución de código en servicio RPCSS (824146)
Un intruso pueda acceder en forma remota a la computadora infectada, a través del IRC.
Se ejecuta solo en Windows NT, 2000 y XP, e intenta robar contraseñas y claves de conocidos juegos de computadora.
Se copia en el sistema infectado con el siguiente nombre:
c:\windows\system32\svchost2.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Agrega las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Configuration Loader = "svchost2.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Configuration Loader = "svchost2.exe"
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_NAV3
HKLM\System\CurrentControlSet\Services\NAV3
El gusano roba del PC infectado, los posibles identificadores y llaves (CD keys) de conocidos video juegos.
Posee además un componente de acceso remoto por puerta trasera vía IRC, que permite a un atacante realizar numerosas acciones en el equipo infectado, incluidos ataques de denegación de servicio (DoS), a blancos específicos. Algunas acciones posibles:
Ejecutar comandos en forma remota
Eliminar procesos seleccionados
Examinar el tráfico HTTP, FTP, e IRC (sniffer)
Finalizar servicios de Windows
Listar los procesos activos
Obtener archivos a través de FTP y HTTP
Obtener direcciones de correo de la computadora infectada
Obtener información del registro
Obtener un determinado URL
Realizar ataques del tipo "floods" (HTTP, ICMP, SYN, y UDP)
Reiniciar la computadora
Robar contraseñas
Cuando se ejecuta, puede detener los siguientes procesos (ver lista en el link), algunos de ellos pertenecientes a conocidos antivirus y cortafuegos:
También es capaz de finalizar los siguientes procesos, creados por otros gusanos y troyanos:
dllhost.exe
msblast.exe
mspatch.exe
penis32.exe
tftpd.exe
winhlpp32.exe
Más información:
http://www.vsantivirus.com/gaobot-ou.htmW32/Korgo.AC. Infecta equipos sin parche LSASSNombre: W32/Korgo.AC
Tipo: Gusano de Internet
Alias: Korgo.AC, Win32.Korgo.AC, WORM_KORGO.AC, W32/Korgo.worm.gen, Win32/Korgo.AC
Plataforma: Windows 32-bit
Tamaño: 9,359 bytes (UPX)
Puertos: TCP 113, 3067, 6667, 445 y 256-8191 al azar
Variante reportada el 23 de julio de 2004, descarga y ejecuta archivos de Internet. Está comprimida con la utilidad UPX.
Gusano que explota la conocida vulnerabilidad en el componente LSASS (usada también por gusanos como Sasser, Cycle, Bobax, etc.). Infecta equipos con Windows XP y 2000 sin el parche correspondiente instalado, por el simple hecho de conectarse estos a Internet, no siendo necesaria la ejecución de ningún archivo o adjunto que involucre acción alguna por parte del usuario.
Más información: "MS04-011 Actualización crítica de Windows (835732)",
Aunque la vulnerabilidad afecta a equipos con Windows XP o 2000, el gusano puede ejecutarse en equipos con otros Windows sin infectarlos, para propagarse.
Cuando se ejecuta, el gusano busca y borra el archivo FTPUPD.EXE en la carpeta actual.
Crea el siguiente mutex para asegurarse una sola instancia de si mismo en memoria al mismo tiempo (un mutex es un indicador en memoria que funciona como una especie de semáforo):
uterm19.2
También crea los siguientes mutex para prevenir la ejecución de otras versiones del mismo gusano:
u10
u11
u11x
u12
u12x
u13
u13i
u13x
u14
u14x
u15
u15x
u16
u16x
u17
u17x
u18
u18x
u19
u19.2x
u8
u9
Borra las siguientes entradas, si existen:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
avserve.exe
avserve2.exe
Bot Loader
Disk Defragmenter
MS Config v13
System Restore Service
SysTray
Update Service
Windows Security Manager
Windows Update Service
WinUpdate
Intenta consultar el valor de la entrada "Cryptographic Service" en la siguiente entrada del registro de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Si falla, crea la siguiente entrada:
HKLM\SOFTWARE\Microsoft\Wireless
ID = [caracteres al azar]
Client = "1"
Y luego se copia a si mismo con un nombre al azar en la siguiente ubicación:
c:\windows\system32\[nombre al azar].exe
También crea la siguiente entrada en el registro y lanza dicho proceso, finalizando luego su propia ejecución:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Cryptographic Service = c:\windows\system32\[nombre].exe
Si la consulta por el valor "Cryptographic Service" es acertada (ya existe), pero el valor no contiene el camino completo al gusano, entonces se copia a si mismo en la carpeta System32 y se agrega a la misma entrada en el registro (Cryptographic Service = c:\windows\system32\[nombre al azar].exe). Ejecuta el proceso y finaliza.
Si la consulta por el valor "Cryptographic Service" es acertada (existe), y el valor indica el camino completo (Cryptographic Service = c:\windows\system32\[nombre al azar].exe), entonces borra el valor "Client" de la clave "HKLM\SOFTWARE\Microsoft\Wireless".
El gusano intenta inyectarse como un hilo más con una función dentro de EXPLORER.EXE. Si tiene éxito, el hilo se ejecuta dentro del proceso EXPLORER.EXE, y la ejecución del gusano no se muestra en la lista de procesos activos de la ventana del Administrador de tareas. Si falla, sigue como un proceso independiente.
Al ejecutarse, el gusano queda a la escucha por los puertos TCP 113 y 3067, y por los puertos 256 al 8191 al azar.
Además, utiliza el puerto TCP 6667 para conectarse a alguno de los siguientes servidores de IRC:
brussels .be .eu .undernet .org
caen .fr .eu .undernet .org
flanders .be .eu .undernet .org
gaspode .zanet .org .za
graz .at .eu .undernet .org
irc .kar .net
irc .tsk .ru
lia .zanet .net
london .uk .eu .undernet .org
los-angeles .ca .us .undernet .org
moscow-advokat .ru
washington .dc .us .undernet .org
Luego, inicia un hilo de ejecución para explotar la vulnerabilidad LSASS, en direcciones IP seleccionadas al azar, a las cuáles intenta conectarse por el puerto TCP 445. Para ello, una vez por segundo examina si existe una conexión a Internet antes de iniciar el ataque a otros sistemas.
Si la conexión es exitosa, y la vulnerabilidad es explotada, la máquina atacada intentará conectarse con la máquina actual para descargar el gusano y reiniciar la secuencia en dicho equipo.
El gusano también inicia un bucle sin fin para evitar el cierre del sistema provocado por el exploit que afecta la vulnerabilidad LSASS.
El gusano intenta conectarse periódicamente a los siguientes sitios de Internet, para intentar descargar un archivo:
0AB1cvv .ru
adult-empire .com
asechka .ru
citi-bank .ru
color-bank .ru
crutop .nu
fethard .biz
filesearch .ru
kavkaz .tv
kidos-bank .ru
konfiskat .org
master-x .com
mazafaka .ru
parex-bank .ru
roboxchange .com
www .redline .ru
xware .cjb .net
Si el archivo descargado contiene la cadena "zer0", el gusano descarga otro archivo ejecutable desde el mismo sitio y lo guarda en la carpeta System32 de Windows para luego ejecutarlo.
Si la cadena "zer0" no existe en el archivo descargado primero, el gusano reintenta la conexión más tarde. El tiempo de espera es seleccionado al azar.
IMPORTANTE:Después de la limpieza, no conectar el equipo a Internet, hasta instalar el parche para la vulnerabilidad LSASS (MS04-011). Más información:
http://www.vsantivirus.com/korgo-ac.htm
Sconato Troyanos que instalan programas BHO(Browser Helper Object) que serán utilizados para capturar informacion sobre la máquina infectada, registrar las pulsaciones del teclado, incluso monitorizar los sitios web visitados por el usuario. La info capturada será posteriormente enviada a los autores en Rusia.
El troyano captura la salida del teclado los datos obtenidos y otra información del sistema son enviados a una dirección de correo en Rusia utilizando una puerta trasera, también recibe un mensaje desde dicha dirección.
Los programas BHO se instalan sin el consentimiento del usuario y están diseñados para para controlar automáticamente cada arranque de sistema y para supervisar la actividad de usuario.
Nombre completo: Trojan.W32/Sconato
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
w32
Tamaño (bytes): 100592
Tamaño comprimido (bytes): 53760
Alias:WIN32/SCONATO.B (Enciclopedia Virus (Ontinent)), WIN32/SCONATO.A (Enciclopedia Virus (Ontinent)), TROJ_SCONATO.A (Trend Micro)
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4102Diperis. AVirus de macro de Microsoft Word que infecta documentos de Word 2000 y posteriores. Utiliza técnicas sencillas de ingeniería social consitente en simular que elimina otros virus de macro. Muestra menajes escritos en indonesio.
Nombre completo: Virus.W97M/Diperis.A
Tipo: [Virus] - Virus Genérico, normalmente se propaga infectando archivos ejecutables.
Plataforma: [W97M] - Virus de Word 97 y posteriores
Alias:Word97Macro/Diperis.A (Computer Associates), W97M/Diperis.A (Computer Associates)
Detalles
Cuando se abre un documento infectado, se muestra un cuadro de mensaje de Microsoft Word con el mensaje (suponiendo que el documento se llama "virus.doc":
File diperiksa: virus.doc !(Fichero a comproba: virus.doc).
El virus finge ayudar al usuario comprobando si hay virus. A continuación muestra un otro mensaje con el texto
File: virus.doc bebas dari macro (Fichero: virus.doc no tiene virus de macro).
También comprueba si hay otros módulos aparte de "Word97" o "ThisDocument" presentes (esto es, macros de usuario y/o macros de otros virus). Si esd así, el virus guarda su código Visual Basic en un fichero llamado:
"c:\my documents\ModuleNamem2r.txt"
donde "ModuleName" es el nombre del módulo del que se hace copia de seguridad. Entonces muestra un mensaje:
Ditemukan macro: Module 1 (Macro encontrada: Module 1)
donde "Module 1" es el nombre de las otras macros encontradas en el fichero .doc.
El virus intenta borrar los siguientes ficheros, si existen en el PC infectado.
"C:\Program Files\Microsoft Office\Office\StartUp\*.dot"
"C:\WINDOWS\FAQ.doc"
"C:\WINDOWS\Application Data\Microsoft\Excel\XLSTART\excel2r.xls"
"C:\Program Files\Microsoft Office\Office\XLStart\excel2r.xls"
"C:\windows.reg"
"C:\fix.bat"
"C:\sex.txt.vbs"
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4101Agent.EPuerta trasera(Backdoor) que instala en el ordenador afectado una DLL (Librería de Enlace Dinámico), que permite tomar el control sobre algunas funciones del navegador Internet Explorer.
También permite realizar otras acciones, como por ejemplo obtener información del sistema, acceso a archivos de determinadas aplicaciones, usar objetos para comunicación, etc.
El contagio se produce cuando el usuario visita determinadas páginas web.
Nombre completo: Backdoor.W32/Agent.E
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 57344
Alias:Backdoor.Agent.B (Symantec), Bck/Agent.E (Panda Software), BackDoor-CFB (McAfee), TROJ_AGENT.AC (Trend Micro), Troj/Agent-AC (Sophos), Backdoor.Agent.ac (Kaspersky (viruslist.com))
Permite tomar el control de algunas funciones del navegador Internet Explorer.
Comprueba si se ejecuta algún programa de tipo debugger.
Permite acceder a los archivos del programa SOFTICE, para proceder a su análisis.
Usa objetos para comunicación.
Recoge información del sistema.
Obtiene los nombres del directorio de sistema y del directorio temporal de Windows.
Permite su ejecución 5 veces simultáneamente, para de este modo poder realizar varias tareas al mismo tiempo.
Bloquea su propio archivo, de forma que no pueda ser borrado.
Metodo de Infección
Crea un archivo con nombre aleatorio y extensión DLL en el directorio de sistema de Windows. Este archivo es una librería de enlace dinámico (DLL), que proporciona las funcionalidades del backdoor.
Crea las siguientes entradas en el Registro de Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"*(1-5 caracteres aleatorios)" = "RUNDLL32 %Sysdir%\%nombre%.dll,StreamingDeviceSetup"
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows NT\ CurrentVersion\ Windows
AppInit_DLLs = %sysdir%\ %nombre%.dll
donde %sysdir% es el directorio de sistema de Windows, y %nombre% es el nombre aleatorio de la librería creada por este backdoor.
Mediante esta entrada, Agent.E consigue ejecutarse cada vez que Windows se inicia.
Se instala en el ordenador afectado cuando el usuario visita determinadas páginas web.
Agent.E está escrito en lenguaje Ensamblador. Este backdoor tiene un tamaño de 57344 Bytes y está comprimido mediante UPX.
Agent.E crea un mutex llamado (num)_mtx, donde (num) es un número aleatorio, para limitar el número de veces que se ejecuta.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4100
