W32/Tenrobot.D. Infector de .EXE y troyano backdoorNombre: W32/Tenrobot.D
Tipo: Infector de ejecutables y caballo de Troya (backdoor)
Alias: Tenrobo.D, Tenrobot.D, I-Worm/Bugbear, PE_TENROBOT.A, W32.Wullik.B@mm, W32/Bugbear, W32/Bugbear.A@mm, W32/Dupator.1503, W32/Rays.A, W32/Tenrobot.4257, W32/Tenrobot.C, W32/Tenrobot.d, W95.Dupator.1503, W95.Netro.4720.C, W95.Tenrobot, W95/Dupator.1503, W95/Tenrobot-A, Win32.Dupator.1503, Win32/Tenrobot.C, Win32:Bugbear [Wrm], Win32:Tenrobot, Win95.Dupator.1503, Win95.Dupator.1503:corrupt, Win95.Robot.4723, Win95.Tenrobot.B, Win95.Tenrobot.c, Win95.Tenrobot.C, Win95/Tenrobot.B, Win95/Tenrobot.C, Win95:Dupator, Worm.Bugbear.A, Worm/BugBear.1, WORM_WUKILL.G
Plataformas: Windows 95, 98 y Me
Tamaño: 8,192 bytes
Se trata de un virus residente en memoria y encriptado, que infecta archivos ejecutables con extensión .EXE, cada vez que alguno es abierto. Solo funciona en Windows 95, 98, y ME.
Contiene rutinas con características de caballo de Troya de acceso remoto a través de una puerta trasera (backdoor). Puede recibir comandos vía Internet, a través de una conexión de IRC (Internet Relay Chat), y luego ejecutarlos. Utiliza el puerto 6667.
Cuando un archivo infectado se ejecuta, el virus queda residente en memoria, y luego le pasa el control al archivo original.
Se engancha con las funciones de apertura de archivos del sistema operativo, de modo que intercepta todo archivo con extensión .EXE, cada vez que uno de ellos es abierto por el usuario, o por cualquier otro proceso. Utiliza una función indocumentada de las APIs para ello. Las API (Application Program Interface), son un conjunto de rutinas que un programa de aplicación utiliza para solicitar servicios ejecutados por el sistema operativo.
Evita infectar archivos cuyo nombre contenga la siguiente cadena: PSTORES
El virus agrega su código al final de la última sección del archivo infectado, además de cierta cantidad de bytes "basura", con la única intención de variar el tamaño del archivo con valores al azar.
Más información:
http://www.vsantivirus.com/tenrobot-d.htmVBS/Cata.A. Borra archivos y se propaga por e-mailNombre: VBS/Cata.A
Tipo: Virus y Gusano de Visual Basic Script
Alias: Cata, VBS/Cata-A
Plataforma: Windows 32-bit
Virus con características de gusano que se propaga por correo electrónico, recursos compartidos en redes y archivos infectados.
Es capaz de borrar archivos AVI, DOC, HTM, HTML, JPG y MPG de las unidades compartidas en red.
Cuando se ejecuta, se copia a si mismo en la carpeta del sistema de Windows:
c:\windows\system\Manutenzione.xls.vbs
c:\windows\system\Chktsk32.vbs
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
FileMgr32 = Wscript.exe Chktsk32.vbs
Los mensajes enviados por el gusano a todos los contactos de la libreta de direcciones de Windows, tienen las siguientes características:
Asunto: Vostro ordine
Datos adjuntos: Manutenzione.xls.vbs
Texto del mensaje:
Salve, vi mando in allegato il vostro
ordine del mese precedente.
Luego de enviar cada mensaje, crea la siguiente entrada en el registro para evitar enviarse nuevamente a las mismas direcciones electrónicas:
HKCU\Software\WSHWC\Catarro\[dirección]=WSHWC
El gusano busca luego en todas las unidades locales y de red que contengan una carpeta Windows\System\ e infecta todos los archivos con extensión VBS y VBE, inyectándoles su propio código.
El virus también es capaz de borrar en las mismas carpetas, todos los archivos con extensión AVI, DOC, HTM, HTML, JPG y MPG, sobrescribiéndolos con una copia de si mismo y renombrándolos con el agregado de la extensión .VBS.
Por ejemplo, si existe un archivo PELICULA.AVI, lo borra con su propio código, y luego renombra el archivo como PELICULA.AVI.VBS. De ese modo el archivo original es irrecuperable.
Si se ejecuta un 17 de enero, el virus deshabilita el teclado y el ratón del equipo infectado.
Más información:
http://www.vsantivirus.com/cata-a.htmW32/Saros.A. Se propaga por e-mail, IRC y P2PNombre: W32/Saros.A
Tipo: Gusano de Internet
Alias: Saros, Win32/Saros.A, W32.Saros@mm, I-Worm.Saros.a
Plataforma: Windows 32-bit
Tamaño: 48,514 bytes
Gusano que se propaga a través del correo electrónico, canales de IRC (mIRC), y redes de intercambio de archivos entre usuarios (P2P).
Envía mensajes infectados a todos los contactos de la libreta de direcciones del Outlook y Outlook Express.
Cambia la configuración de seguridad del Outlook.
Se propaga en mensajes con estas características:
Asunto:
Microsoft Outlook News
Datos adjuntos:
\WINDOWS\system32\MSOutlookInternetUpdate.exe
Texto del mensaje:
Microsoft Outlook Update / Bug Fixed - Contact:
[email protected] Cuando se ejecuta, intenta copiarse en los siguientes caminos y con los siguientes nombres:
WINDOWS\system32\Love-ScreenSaver.scr
WINDOWS\system32\MSOutlookInternetUpdate.exe
WINDOWS\system32\NonYou.exe
Crea el siguiente archivo, que no contiene código malicioso:
\WINDOWS\system32\About.hta
Luego se copia en las siguientes carpetas compartidas por varias utilidades P2P:
progra~1\Bearshare\Shared\
progra~1\eDonkey2000\Incoming\
progra~1\eMule\Incoming\
progra~1\Grokster\My Grokster
progra~1\ICQ\Shared Folder\
progra~1\Kazaa Lite K++\My Shared Folder\
progra~1\Kazaa Lite\My Shared Folder\
progra~1\Kazaa\My Shared Folder\
progra~1\LimeWire\Shared\
progra~1\Morpheus\My Shared Folder\
progra~1\Tesla\Files\
progra~1\WinMX\Shared\
Utiliza para ello, los siguientes nombres:
50 Cent - In da Club.mp3.exe
Anastacia - Left Outside Alone.mp3.exe
Black Eyed Peas - Hey Mama.mp3.exe
Haiducii - Dragostea Din Tei.mp3.exe
Lionel Richie - Just For You.mp3.exe
Pipponoto.exe
Raf - In tutti i miei giorni.mp3.exe
Rosy.exe
The Rasmus - In The Shadows.mp3.exe
Vanessa Carltron - Ordinary Day.mp3.exe
Vasco Rossi - Buoni e cattivi.mp3.exe
El gusano muestra el siguiente mensaje cuando se ejecuta por primera vez:
Microsoft Windows Update
Click Yes For Update Microsoft Outlook via E-mail
También crea y ejecuta el siguiente archivo:
\WINDOWS\system32\nstdnrdll32.vbs
Este script, crea las siguientes entradas en el registro:
HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Runonce\wincomp32
default = WINDOWS\system32\nstdnrdll32.vbs
HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Run\nldr32
default = WINDOWS\system32\NonYou.exe
HKEY_CURRENT_USER\Software\Microsoft\Office\8.0
\Outlook\Security\Level1Remove, exe
HKEY_CURRENT_USER\Software\Microsoft\Office\9.0
\Outlook\Security\Level1Remove, exe
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0
\Outlook\Security\Level1Remove, exe
Crea el siguiente archivo conteniendo una copia del código principal del gusano:
\WINDOWS\system32\Love-ScreenSaver.cab
Luego, envía el mensaje infectado descripto antes, a todas las entradas de la libreta de direcciones.
Abre también el siguiente sitio:
www.windowsupdate.com Modifica el archivo de configuración del mIRC ubicado en \Program Files\mIRC\mirc.ini:
[rfiles]
n2 = tdll32.dll
Abre el archivo "Program Files\mIRC\tdll32.dll" para generar un script que envía el archivo "Love-ScreenSaver.cab" a otros usuarios del mismo canal de IRC visitado por la víctima.
El gusano examina la fecha actual, y si el día del mes es 11 o 23, cambia la página de inicio del Internet Explorer por la siguiente:
www.gedzac.tk También abre en el navegador, el archivo ABOUT.HTA creado antes en la carpeta System32.
En esa fecha, también despliega dos mensajes:
Mensaje 1:
NonYou
Rosy Ti Amo - Saro & Rosy Forever
Mensaje 2:
Gedzac Group 2004
NonYou.a Gedzac Labs Productions
Coded by Sarosoft - Dedicated to my Love Ros
Gedzac Group 2004 - http:/ /www.gedzac.tk
Gedzac
The Virus Crew
Más información:
http://www.vsantivirus.com/saros-a.htmDluca.Q Troyano que modifica la pagina de búsqueda del Internet Explorer.
Nombre completo: Trojan.W32/Dluca.Q
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Win32/TrojanDownloader.Dluca.Q (Enciclopedia Virus (Ontinent))
Cuando el troyano se ejecuta crea una copia de si mismo dentro de la carpeta C:\WINDOWS\SYSTEM utilizando un nombre aleatorio de 8 caracteres siendo su extensión .exe.
Para ejecutarse en cada inicio del sistema crea la siguiente clave en el registro de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[8 caracteres al azar] = c:\windows\system\[nombre del archivo].exe /install
EL troyano crea las siguientes claves de desinstalación en el registro:
HKLM\software\microsoft\windows\currentversion\uninstall\[8 caracteres leatorios]
UninstallString = c:\windows\system\[8 caracteres aleatorios] /uninstall
HKLM\software\microsoft\windows\currentversion\uninstall\[8 caracteres leatorios]
DisplayName = [8 caracteres aleatorios]
Dichas claves agregan un "programa" cuyo nombre son 8 caracteres aleatorios dentro del menú "Agregar o quitar programas". Al hacer clic sobre ese nombre se remueven todas las claves creadas por el troyano.
De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
También crea las siguientes claves en el registro:
HKCU\Software\PrimeSoft\qsearchCCINFO = ECR#1B1C
HKCU\Software\PrimeSoft\qsearchVNPIN = ECR#4F5900D055D2
Cuando se accede a la pagina de búsqueda en el Internet Explorer el usuario es redirigido al domino 204.177.92.207.
El troyano puede descargar archivos desde un sitio en Internet además de actualizarse.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4142Downloader.OG Downloader.OG es un troyano que instala periódicamente un programa de tipo adware en el ordenador afectado, descargándolo desde una serie de sitios web predeterminados.
Downloader.OG no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.
Nombre completo: Trojan.W32/Downloader.OG
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Windows
Tamaño comprimido (bytes): 14336
Alias:Trj/Downloader.OG (Panda Software)
Downloader.OG instala periódicamente un programa de tipo adware en el ordenador afectado, descargándolo desde una serie de sitios web predeterminados.
Downloader.OG crea el archivo BRIDGEX.DLL en el directorio de sistema de Windows. Esta DLL (Librería de Enlace Dinámico) es una copia del troyano.
Downloader.OG crea las siguientes entradas en el Registro de Windows:
HKEY_CLASSES_ROOT\ Bridge.brdg
HKEY_CLASSES_ROOT\ CLSID\ {9C691A33-7DDA-4C2F-BE4C-C176083F35CF}
Downloader.OG no se propaga automáticamente por sus propios medios, sino que precisa de la intervención del usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.
Downloader.OG está escrito en el lenguaje de programación Visual C++ v6.0. Este troyano tiene un tamaño de 14336 Bytes y está comprimido mediante UPX.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4141Febelneck Febelneck es un gusano de correo electrónico que se oculta como un archivo zip. Utilza mensajes en español.
Nombre completo: Worm.W32/Febelneck@MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Alias:W32/Febelneck-A (Sophos)
Cuando es ejecutado, se copia en:
C:\windows\
C:\windows\system\
A:\
con un nombre de la siguiente lista:
Mis Fotos.exe
Cancion.exe
Juego.exe
Pamela Anderson.exe
Fotos Locas.exe
Programa Automatizaci.exe
Importante.exe
Diablo II.exe
Resident Evil.exe
Registros IFE.exe
Mery Christmas.exe
El gusano crea las siguientes entradas en el registro para activarse en el inicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Protection = C:\Windows\system\Protection.exe
Febelneck podría intentar enviarse a las direcciones encontradas en Microsoft Outlook Express en un mensaje con el asunto:
Haber si te gustan mis fotos :|
Haber que te parezco ?
Hola, Pues aqui te las mando
No te vayas a burlar de mi
Soy de cara bonita
)
Febelneck intentará inhabilitar diferentes productos antivirus cerrando sus ventanas y borrando las entradas correspondientes en el registro del sistema.
El gusano intentará cambiar el nombre del equipo infectado a "Nebelfleck"
Febelneck podría intentar borrar todos los archivos en el equipo infectado ejecutando el archivo C:\obj.bat. Deberá borrar este archivo.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4140
