W32/Bagle.AJ. Se propaga por e-mail y P2PNombre: W32/Bagle.AJ
Tipo: Gusano de Internet
Alias: Bagle.AJ, Beagle.AJ, W32.Beagle.AH@mm, Win32/Bagle.AJ
Plataforma: Windows 32-bit
Tamaño: 16 Kb (agrega basura para aumentar su tamaño)
Puertos: TCP/1234
Variante del Bagle (gusano escrito en Visual C), detectado el 23 de julio de 2004.
Los adjuntos poseen extensiones .COM, .CPL, .EXE, .HTA, .SCR, .VBS, o .ZIP, en éste último caso con contraseñas generadas al azar, la cuál se muestra al usuario en una imagen también adjunta. Esto pretende eludir la detección de los antivirus.
Además de propagarse a través del correo electrónico, lo hace por redes P2P, copiándose en carpetas utilizadas por varios de esos programas para compartir archivos con otros usuarios (KaZaa, Bearshare, Limewire, etc.)
Puede enviarse a todas las direcciones de correo obtenidas de diferentes archivos de la máquina infectada. En todos los casos el remitente que figura en el mensaje es falso.
Posee además un componente de acceso por puerta trasera (backdoor), y además finaliza la ejecución de varios antivirus y cortafuegos.
Cuando se ejecuta por primera vez, muestra un mensaje de error falso:
Error!
Can't find a viewer associated with the file
[ Aceptar ]
El gusano no se ejecuta después del 25 de enero de 2005. Si es ejecutado después de esa fecha, se auto invoca con el parámetro -DEL para desinstalarse del sistema.
Más información:
http://www.vsantivirus.com/bagle-aj.htmW32/Korgo.AC. Infecta equipos sin parche LSASSNombre: W32/Korgo.AC
Tipo: Gusano de Internet
Alias: Korgo.AC, Win32.Korgo.AC, WORM_KORGO.AC, W32/Korgo.worm.gen, Win32/Korgo.AC
Plataforma: Windows 32-bit
Tamaño: 9,359 bytes (UPX)
Puertos: TCP 113, 3067, 6667, 445 y 256-8191 al azar
Variante reportada el 23 de julio de 2004, descarga y ejecuta archivos de Internet. Está comprimida con la utilidad UPX.
Gusano que explota la conocida vulnerabilidad en el componente LSASS (usada también por gusanos como Sasser, Cycle, Bobax, etc.). Infecta equipos con Windows XP y 2000 sin el parche correspondiente instalado, por el simple hecho de conectarse estos a Internet, no siendo necesaria la ejecución de ningún archivo o adjunto que involucre acción alguna por parte del usuario.
Aunque la vulnerabilidad afecta a equipos con Windows XP o 2000, el gusano puede ejecutarse en equipos con otros Windows sin infectarlos, para propagarse.
Cuando se ejecuta, el gusano busca y borra el archivo FTPUPD.EXE en la carpeta actual.
Más información:
http://www.vsantivirus.com/korgo-ac.htmTroj/Mitglieder.M. Descarga y ejecuta archivosNombre: Troj/Mitglieder.M
Tipo: Caballo de Troya
Alias: Mitglieder.M, Trojan.Mitglieder.M, W32/Bagle.aj!proxy
Plataforma: Windows 32-bit
Tamaño: 5,924 bytes; 11,776 bytes; 33,298 bytes
Este troyano ha sido reportado por usuarios infectados con el gusano Bagle. Dicho gusano descarga y ejecuta a este troyano luego de una infección.
Funciona como un repetidor de e-mails, y es capaz de finalizar la ejecución de numerosos programas, además de reenviar información de la víctima a usuarios remotos. También intenta descargar archivos desde Internet.
Cuando se ejecuta, crea los siguientes archivos en el sistema infectado:
c:\windows\system\windirect.exe
c:\windows\system\_dll.exe
Más información:
http://www.vsantivirus.com/troj-mitglieder-m.htm
Troj/Mitglieder.N. Envía spam desde el PC infectadoNombre: Troj/Mitglieder.N
Tipo: Caballo de Troya
Alias: Mitglieder.N, W32/Bagle.ak!proxy
Plataforma: Windows 32-bit
Tamaño: 18,432 bytes (UPX); 58,368 bytes
Puertos: TCP/15551, UDP/1044
Este troyano ha sido reportado por usuarios infectados con el gusano Bagle. Dicho gusano descarga y ejecuta a este troyano luego de una infección.
Cuando se ejecuta, crea los siguientes archivos en el sistema infectado:
c:\windows\system\system.exe
c:\windows\system\iinj4.exe
c:\windows\system\irun4.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
Crea las siguientes entradas en el registro, la primera de ella para autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
ssgrate.exe = c:\windows\system\irun4.exe
HKCU\Software\DateTime
Luego, el troyano se inyecta en el proceso del EXPLORER, quedando oculto en la lista de procesos en ejecución.
Se conecta a diferentes sitios de Alemania y Rusia, e intenta funcionar como repetidor de correo electrónico para el envío de spam.
Los siguientes puertos son abiertos en las máquinas infectadas:
TCP/15551
UDP/1044
Más información:
http://www.vsantivirus.com/troj-mitglieder-n.htmBoxed. Troyano que es instalado por algún tipo de malware o instalado por el usuario. Se registra como un servicio para permanecer residente en memoria.
Nombre completo: Trojan.W32/Boxed.J
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Win32/DDoS.Boxed.J (Enciclopedia Virus (Ontinent))
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4104Amasso Troyano que actúa como un programa proxy IRC ("bouncer"), contiene una puerta trasera que permite que un atacante externo tenga control del equipo infectado. Se propaga en un mensaje con el asunto "Osama Found Hanged". Esta creado con el lenguaje C++ y comprimido con UPX.
Nombre completo: Backdoor.W32/Amasso
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Win32/Amasso.A (Enciclopedia Virus (Ontinent))
Detalles
Cuando se ejecuta crea una copia de si mismo con el nombre "zonelockup.exe" en la carpeta de sistema de Windows
De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
Luego ejecuta la copia liberada y permanece residente en memoria, terminando el proceso del archivo original.
Crea el mutex "botsmfdutpex" para no ejecutarse mas de una vez en memoria.
Para ejecutarse en cada inicio del sistema crea la siguiente clave en el registro de Windows:
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
Winsock32Driver = ZoneLockup.exe
Una vez conectado al sistema el troyano se conecta al servidor IRC "osama.hackarmy.tk". Un atacante externo puede utilizar la puerta trasera del troyano para tener control del equipo infectado y realizar alguna de las siguientes acciones:
Ejecutar programas.
Borrar archivos.
Terminar procesos.
Listar los procesos activos.
Descargar archivos.
Descargar o subir programas.
Obtener información del sistema infectado.
Realizar un escaneo de puertos.
Iniciar o terminar un canal IRC.
El troyano puede llegar en un mensaje con las siguientes características:
Asunto: Osama Found Hanged
Texto del mensaje:
Osama Bin Ladin was found hanged by two CNN journalists
early Wedensday evening. As evidence they took several
photos, some of which i have included here. As yet, this
information has not hit the headlines due to Bush wanting
confirmation of his identity but the journalists have
released some early photos over the internet..
Dentro del texto del mensaje se incluye un enlace a el archivo "OsamaFoundDead.zip".
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4105
