W32/Gaobot.LM. Se copia como "lsas.exe"Nombre: W32/Gaobot.LM
Tipo: Gusano de Internet y caballo de Troya
Alias: Gaobot.LM, Agobot.LM, W32/Agobot-LM, WORM_AGOBOT.GEN, Backdoor.Agobot.gen, W32/Gaobot.worm.gen, W32.HLLW.Gaobot.gen
Plataforma: Windows NT, 2000 y XP
Puertos: TCP/135, TCP/445, TCP/80, TCP/6667
Es un gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de conocidas vulnerabilidades.
Un intruso pueda acceder en forma remota a la computadora infectada, a través del IRC.
Se ejecuta solo en Windows NT, 2000 y XP, e intenta robar contraseñas y claves de conocidos juegos de computadora.
Se copia en el sistema infectado con el siguiente nombre:
c:\windows\system32\lsas.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Agrega las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
lsas = "lsas.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
lsas = "lsas.exe"
HKLM\System\CurrentControlSet\Services\lsas
Modifica el archivo HOSTS para que los siguientes sitios no puedan ser accedidos desde una máquina infectada:
avp .com
ca .com
customer .symantec .com
dispatch .mcafee .com
download .mcafee .com
f-secure .com
kaspersky .com
liveupdate .symantec .com
liveupdate .symantecliveupdate .com
mast .mcafee .com
mcafee .com
my-etrust .com
nai .com
networkassociates .com
rads .mcafee .com
secure .nai .com
securityresponse .symantec .com
sophos .com
symantec .com
trendmicro .com
update .symantec .com
updates .symantec .com
us .mcafee .com
viruslist .com
viruslist .com
www .avp .com
www .ca .com
www .f-secure .com
www .kaspersky .com
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .trendmicro .com
www .viruslist .com
El gusano roba del PC infectado, los posibles identificadores y llaves (CD keys) de conocidos video juegos.
Posee además un componente de acceso remoto por puerta trasera vía IRC, que permite a un atacante realizar numerosas acciones en el equipo infectado, incluidos ataques de denegación de servicio (DoS), a blancos específicos. Algunas acciones posibles:
Ejecutar comandos en forma remota
Eliminar procesos seleccionados
Examinar el tráfico HTTP, FTP, e IRC (sniffer)
Finalizar servicios de Windows
Listar los procesos activos
Obtener archivos a través de FTP y HTTP
Obtener direcciones de correo de la computadora infectada
Obtener información del registro
Obtener un determinado URL
Realizar ataques del tipo "floods" (HTTP, ICMP, SYN, y UDP)
Reiniciar la computadora
Robar contraseñas
Cuando se ejecuta, puede detener los siguientes procesos, algunos de ellos pertenecientes a conocidos antivirus y cortafuegos (ver lista en el link):
IMPORTANTE:
Descargue y ejecute cada parche antes de proceder al resto de la limpieza, desde los siguientes enlaces:
MS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htmMS04-011 Actualización crítica (LSASS) (835732)
http://www.vsantivirus.com/vulms04-011.htmMás información:
http://www.vsantivirus.com/gaobot-lm.htmW32/Evaman.C. Roba direcciones de YahooNombre: W32/Evaman.C
Tipo: Gusano de Internet
Alias: Evaman.C, I-Worm.Mydoom.o, I-Worm.Mydoom.O, MyDoom.O, Mydoom.P, MyDoom.Q, W32.Evaman.C@mm, W32/Evaman@MM, W32/Mydoom.q@MM , W32/Mydoom.Q@MM, W32/MyDoom-O, W32/MyDoom-Q, Win32.Evaman.C, Win32/Mydoom.21504.Worm, WORM_MYDOOM.O, ZIP.Evaman.C
Plataforma: Windows 2000 y XP
Tamaño: 21,504 bytes (UPX)
Gusano de envío masivo por correo electrónico, que se propaga por direcciones de correo obtenidas de la máquina infectada, y en el sitio "email.people.yahoo.com". Fue reportada el 3 de agosto de 2004 y algunos fabricantes de antivirus la detectan como una variante del Mydoom.
Escrito en Visual C++ está comprimido con la herramienta UPX.
Funciona solo en Windows 2000 y XP ya que requiere la librería PSAPI.DLL presente en estos sistemas.
Llega en un adjunto en mensajes como los siguientes:
De: [nombre]+[dominio]
Donde [nombre] puede ser uno de los siguientes (entre otros):
barbara
daniel
david
jason
jessica
karen
kevin
linda
nancy
pamela
patricia
robert
sarah
susan
Y [dominio] es el mismo del destinatario que recibe el mensaje. Por ejemplo, si el destinatario es
[email protected], el remitente podría ser alguno de los siguientes:
[email protected][email protected][email protected][email protected], etc...
Asunto: [uno de los siguientes]
Delivery Status (Secure)
failed transaction
Re: Extended Mail
Re: hello (Secure-Mail)
Re: Server Reply
Secure delivery
SN: New secure mail
SN: Server Status
Texto del mensaje: [uno de los siguientes]
as a secure compiled attachment (Zip).
Automatically Secure Delivery: for [e-mail]
Automatically server notice:,
due to a new security policy.
Due to new policies on clients.
Extended secure mail message available at: [dominio]
For security measures this message has been packed as Zip format.
from [dominio]
from Administration at [dominio]
Mail Delivery Server System: for [e-mail]
Message available as a secure Zip file.
New feature added for security reasons
New mail secure method implement: for [e-mail]
New policy recommends to enclose all messages as Zip format.
New policy requested by mail server to returned mail
New service policy for security added from [dominio]
Now a new message is available as secure Zip file format.
Secure Mail Server Notification: for [e-mail]
Server Notice: New security feature added. MSG:ID: 455sec86
Server reply from [dominio]
This is a newly added security feature.
This message is an automatically server notice
This message is available as a secure Zip file format
You have received a message that implements secure delivery technology.
Your message is available in this server notice.
Datos adjuntos: [nombre]+[extensión]
Donde [nombre] es una de las siguientes cadenas:
attachment
document
file
mail
message
readme
text
transcript
Y [extensión] es una de las siguientes:
.exe
.zip
-htm.exe
-txt.exe
-txt.scr
Ejemplos:
attachment-htm.exe
file.exe
message-txt.scr
Cuando se ejecuta por primera vez, abre el Bloc de notas (notepad.exe).
Crea las siguientes entradas en el registro, la última para autoejecutarse en cada reinicio del sistema:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\winlibs
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\winlibs
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
winlibs.exe = c:\windows\system32\winlibs.exe
El ejecutable del gusano se copia en la carpeta del sistema de Windows y en la carpeta TEMP:
c:\windows\system32\winlibs.exe
\TEMP\winlibs.exe
Para propagarse, utiliza su propio motor SMTP.
Para obtener direcciones de correo, el gusano utiliza las siguientes cadenas para enviar consultas a "email.people.yahoo.com", intentando obtener las direcciones de todos los usuarios cuyo primer nombre coincida con las mismas: (ver lista en el link)
También obtiene direcciones de archivos de la máquina infectada con las siguientes extensiones:
.adb
.asp
.cfg
.dbx
.dhtm
.eml
.htm
.html
.js
.jse
.jsp
.mmf
.msg
.ods
.php
.pl
.sht
.shtm
.shtml
.tbb
.txt
.wab
.xml
Finalmente se envía a todas las direcciones obtenidas, utilizando una dirección falsa en el campo "De:". Los mensajes enviados poseen las características ya descriptas.
Evita enviarse a direcciones de correo que contengan alguna de las siguientes cadenas en sus nombres: (ver lista en el link)
El gusano crea el siguiente mutex para no ejecutarse más de una vez en memoria:
NorthernLightMixed
Más información:
http://www.vsantivirus.com/evaman-c.htmMydoom.O Mydoom.O es un gusano que instala un archivo que actúa como puerta trasera, abriendo el puerto TCP 1034 y permaneciendo a la escucha. De este modo, permite el acceso remoto al ordenador afectado para realizar en el mismo acciones que comprometen la confidencialidad del usuario o dificultan su trabajo.
Mydoom.O se propaga a través del correo electrónico en un mensaje escrito en inglés con características variables.
Nombre completo: Worm-Backdoor.W32/Mydoom.O@MM
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Alias:W32/Mydoom.O.worm (Panda Software), W32/Mydoom.p@MM (McAfee), Win32.Mydoom.P (Computer Associates)
Detalles
Efectos
Puerta trasera en el puerto TCP 1034 y permaneciendo a la escucha. De este modo, permite el acceso remoto al ordenador afectado, para realizar en el mismo acciones que comprometen la confidencialidad del usuario o dificultan su trabajo.
Busca y cierra las ventanas que posean alguno de los siguientes nombres:
rctrl_renwnd32
ATH_Note
IEFrame
Metodo de Infección
Mydoom.O crea los siguientes archivos:
JAVA.EXE en el directorio de Windows. Este archivo es una copia del gusano.
SERVICES.EXE en el directorio de Windows. Este archivo es una copia del backdoor.
ZINCITE.LOG y un archivo con nombre aleatorio y extensión LOG en el directorio temporal de Windows. Estos archivos son creados por Mydoom.O como ayuda para afectar el ordenador.
Mydoom.O crea las siguientes entradas en el Registro de Windows:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
JavaVM = %windir%\ java.exe
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Services = %windir%\ Services.exe
donde %windir% es el directorio de Windows.
Mediante estas entradas, Mydoom.O consigue ejecutarse cada vez que se inicia Windows.
Si no consigue crear las anteriores entradas, en su lugar intentará crear estas otras:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
JavaVM = %windir%\ java.exe
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Services = %windir%\ Services.exe
Adicionalmente, también crea las siguientes entradas:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Daemon
HKEY_CURRENT_USER\ Software\ Microsoft\ Daemon
Método de Propagación
Mydoom.O se propaga a través del correo electrónico. Para ello, realiza el siguiente proceso:
Llega al ordenador afectado en un mensaje de correo escrito en inglés de características variables:
Remitente: Mydoom.O falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones.
Mydoom.O puede añadir cualquiera de los siguientes textos a la dirección falsificada del remitente:
"Automatic Email Delivery Software"
"Bounced mail"
"Mail Delivery Subsystem"
"MAILER-DAEMON"
"Post Office"
"Returned mail"
"The Post Office"
"Mail Administrator"
"Postmaster"
MAILER-DAEMON
noreply
Asunto: puede ser uno de los siguientes:
[en blanco]
test
hi
Message could not be delivered
Mail System Error - Returned Mail
delivery failed
Delivery reports about your e-mail
error
hello
report
Returned Mail: see transcript for details
status
Contenido: puede estar en blanco, ser un conjunto ilegible de caracteres o uno de los siguientes:
Mensaje 1:
The original message was received at
from []
----- The following addresses had permanent fatal errors -----
[dirección página web]
Mensaje 2:
The original message was received at
from []
----- The following addresses had permanent fatal errors -----
[dirección correo electrónico]
----- Transcript of session follows -----
while talking to [servidor].:
MAIL From: [dirección correo electrónico]
501 [dirección correo electrónico]... Refused
Mensaje 3:
This Message was undeliverable due to the following reason:
Your message was not delivered because the destination computer was
not reachable within the allowed queue period. The amount of time
a message is queued before it is returned depends on local configura-
tion parameters.
Most likely there is a network problem that prevented delivery, but
it is also possible that the computer is turned off, or does not
have a mail system running right now.
Your message was not delivered within 7 days:
Host [dirección IP] is not responding.
The following recipients did not receive this message:
[dirección correo electrónico]
Please reply to [dirección correo electrónico]
if you feel this message to be in error.
Mensaje 4:
Message could not be delivered
Archivo adjunto: es variable:
Posibles nombres de archivo: puede ser completamente aleatorio, o ser alguno de los siguientes: ATTACHMENT, DOCUMENT, FILE, INSTRUCTION, LETTER, MAIL, MESSAGE, README, TEXT, TRANSCRIPT.
Posibles extensiones: PIF, SCR, EXE, CMD, BAT, ZIP, COM.
El archivo adjunto puede llegar dentro de un archivo con extensión ZIP, que algunas veces puede estar doblemente comprimido. En ocasiones, el archivo adjunto que contiene el gusano llega dañado. Cuando el archivo es ejecutado, el ordenador quedará afectado.
Mydoom.O busca direcciones de correo en archivos que tengan las siguientes extensiones: ADB, ASP, DBX, HTM, PHP, PL, SHT, TBB, TXT y WAB.
Mydoom.O se envía a todas las direcciones que encuentre, utilizando su propio motor SMTP. Para ello, intenta abrir una sesión SMTP y conectarse a los posibles servidores de correo, que se componen añadiendo una serie de prefijos al dominio de correo del destinatario. Sin embargo, Mydoom.O evita enviarse a direcciones que cumplan alguna de las siguientes características:
El dominio de la dirección contiene alguna de estas cadenas: .gov, .mil, arin., avp, bar., domain, example, foo., gmail, gnu., google, gov., hotmail, labs, math, mcrosoft, msn., ophos, panda, rarsoft, ripe., sarc., seclist, secure, sf.net, sourceforge, spersk, syma, update, uslis y winzip.
El nombre de destinatario es alguno de los siguientes: anyone, ca, contact, feste, gold-certs, help, info, me, no, nobody, noone, not, nothing, page, rating, root, samples, service, site, soft, someone, the.bat, you y your.
El nombre de destinatario contiene alguna de las siguientes cadenas: abus, accoun, admi, bug, contact, crosoft, listserv, master, ntivi, privacycertific, sample, secure, spam, submit y suppor.
Otros Detalles
Mydoom.O está escrito en lenguaje Ensamblador. Este gusano tiene un tamaño variable, que oscila entre 8192 y 28800 Bytes cuando está comprimido mediante Aspack, mientras que ocupa entre 10240 y 40448 Bytes una vez descomprimido.
Mydoom.O crea un mutex para asegurarse de que no haya más de una copia del gusano ejecutándose al mismo tiempo.
Este gusano crea numerosos hilos de ejecución, pudiendo llegar a causar un error de acceso a página inválida. Por su parte, el componente backdoor crea tres hilos de ejecución, y se registra como un servicio de Windows, para no aparecer en el Administrador de tareas.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4137Exruntel Troyano de puerta trasera que permite a un atacante externo tener control del equipo infectado.
Nombre completo: Backdoor.W32/Exruntel
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Win32/Exruntel.A (Enciclopedia Virus (Ontinent))
Detalles
Cuando el troyano se ejecuta crea una copia de si mismo dentro de la carpeta C:\WINDOWS\SYSTEM, el archivo creado tiene un tamaño de 94,998 bytes.
De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
Evita que se pueda ver el archivo utilizando el Explorador de Windows o desde linea de comandos, para visualizar el archivo debe reiniciarse en Modo a prueba de fallos.
También libera un archivo oculto dentro de la carpeta C:\WINDOWS\SYSTEM con un tamaño de 152,104 bytes, dicho archivo tiene un "2" al final de la extención.
Para ejecutarse en cada inicio del sistema crea la siguiente clave en el registro.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[nombre del archivo] =C:\windows\system\[nombre del archivo]
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4138
