Banuris.BNombre completo: Worm.W32/Banuris.B@P2P
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [P2P] - Se difunde por redes de compartición de ficheros P2P (peer to peer)
Alias:Win32/Banuris.B
Gusano que se propaga utilizando redes P2P, infecta unidades compartidas en red que tengan los permisos de escritura habilitados. Está escrito en Microsoft Visual Basic 6.0, y requiere la presencia de la librería MSVBVM60.DLL para ejecutarse.
Cuando se ejecuta, se copia en las siguientes ubicaciones, estas están escritas en su código y no dependen del sistema operativo:
* C:\Windows\winrun.exe
* C:\Winnt\winrun.exe
Crea el siguiente directorio, con los atributos de oculto:
* C:\sharedDocs
También crea una carpeta oculta para copiarse dentro de ella utilizando diferentes nombres
Si un disquete se encuentra presente en la unidad A: el gusano intenta copiarse en dicha ubicación.
Para ejecutarse en cada inicio del sistema crea las siguientes claves en el registro de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Windir = C:\windows\winrun.exe
Sysdir = C:\winnt\winrun.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
winrun = C:\windows\winrun.exe
winur = C:\winnt\winrun.exe
Busca y obtiene del registro la ubicación de las siguientes carpetas:
* Mis documentos
* Mi música
* Mis vídeos
Luego busca dentro de esas carpetas más la actual, todos los archivos que no sean ejecutables, y utiliza sus nombres con la extensión .EXE para copiarse allí, y en la carpeta "C:\sharedDocs". Por ejemplo: Si encuentra un archivo "TEXTO.DOC", crea una copia de si mismo con el nombre de "TEXTO.EXE".
También se copia dentro de la carpeta "C:\sharedDocs" con los siguientes nombres:
* Adult movie.exe
* Adult(hardcore sex movie xxx)movie.exe
* Age of Empires 2 cr..k.exe
* Age of mythology cr..k noCD.exe
* Age of mythology cr..k.exe
* All Microsoft product license cr..ker! ( Windows ME, Windows XP,Windows 2000, etc.).exe
* American Conquest cr..k nocd.exe
* American Conquest cr..k.exe
* Anno 1503 cr..k nocd.exe
* Anno 1503 cr..k.exe
* Anonymous email.exe
* Anstoss 4 cr..k.exe
* Bathroom sex.exe
* Beach Life cr..k.exe
* Billy Crwaford movie.exe
* Britney Spears anal movie.exe
* Britney Spears Blowjob movie.exe
* Britney Spears hardcore xx movie.exe
* Britney Spears in bath (movie).exe
* Britney Spears naked.exe
* Britney Spears Nipple slip.exe
* Bumfight (movie).exe
* Bush vs Saddam (funny flash movie).exe
* Cable cr..ker.exe
* Car Tycoon cr..k.exe
* Catch me if you can (DVD).exe
* Christina Aguilera adult movie.exe
* Christina Aguilera having sex(mov).exe
* Christina Aguilera movie.exe
* Christina Aguilera sucks cock.exe
* CKY 1.exe
* CKY 2.exe
* CKY 3.exe
* CKY 4.exe
* Combat mission 2 cr..k.exe
* Conflict desert storm cr..k.exe
* Cossacks - Back to war- cr..k.exe
* Davideo 2 cr..k.exe
* Dr. Dre flash (movie).exe
* Driver 2 cr..k.exe
* Driver cr..k.exe
* Dungeon cr..k nocd.exe
* Emailbomber.exe
* Emergency 2 cr..k noCD.exe
* Emergency 2 cr..k.exe
* Emergency cr..k noCD.exe
* Emergency cr..k.exe
* Eminem - 8 mile (mpeg).exe
* Eminem flash game.exe
* Empire Earth cr..k.exe
* Encarta 2003 cr..k.exe
* Encarta 2004 cr..k.exe
* Esafe cr..k nocd.exe
* Esafe desktiop Protection cr..k.exe
* Free SMS v1.0.exe
* FreeGobo.exe
* Frontline Attack -War over Europe - cr..k.exe
* Girl having sex 001.exe
* Girl having sex nude anal.exe
* GTA 2 cr..k noCD.exe
* GTA 2 cr..k.exe
* GTA 3 cr..k noCD.exe
* GTA 3 cr..k.exe
* GTA Vice City cr..k noCD.exe
* GTA Vice City cr..k.exe
* Hack hotmail.exe
* Hardcore adult xxx asian fuck(movie).exe
* Hardcore SM spanking movie 001.exe
* Hardcore xxx secret.exe
* Hardest pornmovie ever.exe
* Hardest sex ever.exe
* Harry Potter 1 cr..k noCD.exe
* Harry Potter 1 cr..k.exe
* Harry Potter 2 cr..k noCD.exe
* Harry Potter 2 cr..k.exe
* Highland Warriors cr..k nocd.exe
* Highland Warriors cr..k.exe
* Hitman 2 cr..k nocd.exe
* Hitman 2 cr..k.exe
* Hitman cr..k nocd.exe
* Hitman cr..k.exe
* Home Alone 1.exe
* Home Alone 2.exe
* Home Alone 3.exe
* Hotmail hacker.exe
* Idols filmp dvd.exe
* Idols finale game.exe
* Idols voorrondes dvd.exe
* Jackass - never shown part.exe
* Jackass - Steve O crocodile.exe
* Jackass - The movie(mpeg).exe
* Jackass game (be jackass!!).exe
* Jim (Idols).exe
* Kate Winslet adult movie.exe
* Katja Schuurman having sex.exe
* Katja Schuurman nude movie.exe
* Katja Schuurman nude.exe
* Keylogger v1.0.exe
* Leonardo di Caprio.exe
* Live Update cr..k.exe
* LiveUpdate cr..k(4 ever!).exe
* LiveUpdate cr..k.exe
* Lord Of the ring - The Two Towers - cr..k.exe
* Lord of the Rings - The Fellowship of
* the ring- cr..k.exe
* Lord of the Rings - TTT - cr..k.exe
* Lord of the rings cr..k noCD.exe
* Lord of the rings game.exe
* Mafia cr..k.exe
* Magix cr..k.exe
* Magix music maker cr..k noCD.exe
* Magix music maker 7 cr..k noCD.exe
* Magix music maker 8 cr..k noCD.exe
* Mcafee antivirus 2003 cr..k.exe
* Medieval - Total War - cr..k noCD.exe
* Medieval - Total War - cr..k.exe
* Microsoft office XP, Me, 2000, 98,
* 95 license cr..k.exe
* Might and Magic 1 cr..k.exe
* Might and Magic 2 cr..k.exe
* Might and Magic 3 cr..k.exe
* Might and Magic 4 cr..k.exe
* Might and Magic 5 cr..k.exe
* Might and Magic 6 cr..k.exe
* Might and Magic 7 cr..k.exe
* Might and Magic 8 cr..k.exe
* Might and Magic 9 cr..k.exe
* Migl.exe
* MS Zoo tycoon cr..k.exe
* MSN banner remover.exe
* MSN hacker.exe
* Neocron cr..k.exe
* Nikki Cox nude.exe
* Nikki cox Playboy session.exe
* Nikki Cox sex movie.exe
* Norton Antivirus 2003 cr..k.exe
* Norton antivirus cr..k nocd.exe
* Nude poser (sex cock).exe
* Office XP cr..k.exe
* Office Xp keygen.exe
* Pamela Anderson adult movie.exe
* Pamela Anderson and Tommy Lee hardcore
* holiday movie.exe
* Pamela Anderson deepthroat.exe
* Pamela Anderson gets fucked.exe
* Password stealer.exe
* Red alert (all versions!) cr..k.exe
* Red alert 2 cr..k.exe
* Red Alert cr..k.exe
* Robin Hood cr..k.exe
* Robin Hood -Legend of Sherwood- cr..k noCD.exe
* Robin Hood -Legend of Sherwood- cr..k.exe
* Rollercoaster Tycoon 1 cr..k.exe
* Rollercoaster Tycoon 2 cr..k.exe
* RTTCW cr..k(noCD).exe
* Secret.exe
* See her pussy.exe
* Sex movie hardcore.exe
* Sim city 2 cr..k.exe
* Sim city 3 cr..k.exe
* Sim city 4 cr..k.exe
* SMS 4 free.exe
* South park 004.exe
* South park 046.exe
* South Park flash game.exe
* Splinter Cell cr..k nocd.exe
* Splinter Cell cr..k.exe
* Splinter Cell demo.exe
* Stronghold Crusader cr..k noCD.exe
* Stronghold Crusader cr..k.exe
* Stuart Little 2 cr..k.exe
* SubSeven.exe
* Tatjana undressing.exe
* The elder Scrolls - Morrowind- cr..k.exe
* The first emperor cr..k.exe
* The Partners cr..k.exe
* The Simpsons.exe
* The Sims cr..k (all versions!).exe
* The thing cr..k.exe
* Theme park cr..k.exe
* Theme park world cr..k.exe
* This is football cr..k.exe
* TMF Tooske sexy nude.exe
* Tomb Raider 1 2 3 4 5 cr..k.exe
* Tomb Raider 3 cr..k.exe
* Unreal Tournament 2003 cr..k noCD.exe
* Unreal Tournament 2003 cr..k.exe
* Unreal Tournament cr..k.exe
* UT 2003 cr..k.exe
* Virusscanner.exe
* Voyeur movie.exe
* Warcraft 3 cr..k.exe
* Winamp.exe
* Windows 98 cr..k.exe
* Windows 98 keygen.exe
* Windows ME cr..k.exe
* Windows ME keygen.exe
* Windows NT cr..k.exe
* Windows NT keygen.exe
* Windows XP cr..k.exe
* Windows XP keygen.exe
* Wolfenstein Return to the castle cr..k.exe
* World War 3 cr..k.exe
Intenta propagarse por unidades de redes compartidas, copiándose en los siguientes caminos prefijados en su código con el nombre de WINRUN.EXE:
\Programma"s\opstarten
C:\Documents and Settings\All Users\start menu\programma"s\opstarten
C:\Documents and Settings\All Users\start menu\programs\startup
C:\Documents and Settings\All Users\Start Menu\programs\startup
C:\WINNT\profiles
C:\WINNT\profiles\all users\programma"s\opstarten
C:\WINNT\profiles\all users\programs\startup
C:\WINNT\profiles\all users\start menu\programma"s\opstarten
C:\WINNT\profiles\all users\start menu\programs\startup
C:\WINNT\profiles\user default\programma"s\opstarten
C:\Winnt\profiles\user default\programs\startup
C:\WINNT\profiles\user default\start menu\programma"s\opstarten
C:\WINNT\profiles\user default\start menu\programs\startup
Se propaga por redes P2P como KaZaa y WinMX creando una copia sin nombre (solo la extensión .EXE) en la carpeta predefinida del KaZaa, si ésta existe en la siguiente ubicación:
* C:\Program Files\Kazaa
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4154W32/Gaobot.XD. Se copia como "svcshost.exe"Nombre: W32/Gaobot.XD
Tipo: Gusano de Internet y caballo de Troya
Alias: Gaobot.XD, Agobot.XD, WORM_AGOBOT.XD, WORM_AGOBOT.GEN, Backdoor.Agobot.gen, W32/Gaobot.worm.gen, W32.HLLW.Gaobot.gen
Fecha: 8/ago/04
Plataforma: Windows NT, 2000 y XP
Puertos: TCP/135, TCP/445, TCP/80
Tamaño: 206,336 bytes
Es un gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de conocidas vulnerabilidades:
MS03-001 Vulnerabilidad en el Servicio Localizador
http://www.vsantivirus.com/vulms03-001-002-003.htm#1Falla crítica en servidores Microsoft IIS 5.0 (MS03-007)
http://www.vsantivirus.com/vulms03-007.htmMS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htmUn intruso pueda acceder en forma remota a la computadora infectada, a través del IRC.
Se ejecuta solo en Windows NT, 2000 y XP, e intenta robar contraseñas y claves de conocidos juegos de computadora.
Se copia en el sistema infectado con el siguiente nombre:
c:\windows\system32\svcshost.exe
Nota: Observe que este nombre agrega una letra "S" delante de la "H", para confundirse con un archivo legítimo de Windows XP y 2000 (SVCHOST.EXE), que usted no debe borrar.
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Agrega las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Initiation Sequence = "svcshost.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Initiation Sequence = "svcshost.exe"
El gusano roba del PC infectado, los posibles identificadores y llaves (CD keys) de conocidos video juegos.
Posee además un componente de acceso remoto por puerta trasera vía IRC, que permite a un atacante realizar numerosas acciones en el equipo infectado, incluidos ataques de denegación de servicio (DoS), a blancos específicos. Algunas acciones posibles:
* Ejecutar comandos en forma remota
* Eliminar procesos seleccionados
* Examinar el tráfico HTTP, FTP, e IRC (sniffer)
* Finalizar servicios de Windows
* Listar los procesos activos
* Obtener archivos a través de FTP y HTTP
* Obtener direcciones de correo de la computadora infectada
* Obtener información del registro
* Obtener un determinado URL
* Realizar ataques del tipo "floods" (HTTP, ICMP, SYN, y UDP)
* Reiniciar la computadora
* Robar contraseñas
Cuando se ejecuta, puede detener varios procesos, algunos de ellos pertenecientes a conocidos antivirus y cortafuegos. Nombre de los procesos y más información:
http://www.vsantivirus.com/gaobot-xd.htm Mydoom.RNombre completo: Worm.W32/Mydoom.R
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño comprimido (bytes): 17408
Alias:Win32.Mydoom.R@mm, W32/Mydoom.r@MM, W32.Mydoom.P@mm
Gusano que se difunde mediante el envío masivo de corre electrónico. Descarga y ejecuta ficheros de un cierto sitio web.
Síntomas:
Presencia del mutex 'SwebSipcSmtxS1'.
Presencia de los ficheros 'zsdssfds.exe' y 'taskmon.exe' en %SYSDIR%. (donde %SYSDIR%) es el directorio de sistema de Windows; por defecto es C:\WINDOWS\SYSTEM32 en Windows XP)
Descripción técnica:
El gusano llega por correo electrónico, en mensajes con las siguientes características:
* Cuerpo: alguno de los sigueintes:
o 'This is a multi-part message in MIME format.'
o 'Mail transaction failed. Partial message is available.'
o 'The message contains Unicode characters and has been sent as a binary attachment.'
o 'The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.'
o 'test'
* Asunto: alguno de los siguientes:
o 'Mail Delivery System'
o 'Mail Transaction Failed'
o 'Server Report'
o 'Status'
o 'Error'
El remitente del correo es falsificado.
Una vez ejecutado, el gusano hace lo siguiente:
* se copia en el directorio de sistema de Windows con el nombre "taskmon.exe"
* abre el bloc de notas con información binaria en él
* comprueba la existencia del mutext SwebSipcSmtxS1
* busca direcciones de correo electrónico en ficheros con extensiones wab,htm,sht,php,asp,dbx,tbb,adb.
* también comprueba la libreta de direcciones por defecto de de Windows.
* usa DNS y el registro para encontrar un servidor SMTP.
* crea múltiples subprocesos para enviar correo electrónico
* descarga el fichero
http://jljfytdtk.chat.ru/DSC00173.jpg como zsdssfds.exe
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4153SarosNombre completo: Worm.W32/Saros@P2P+MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [P2P+MM] - Se propaga por redes P2P y correo electrónico
Tamaño comprimido (bytes): 48514
Alias:W32.Saros@mm, W32/Saros@mm, W32/Saros@MM, I-Worm.Saros.a
Gusano con capacidad para propagarse mediante el envío de correos electrónico, de MIRC y a través de redes de intercambio de ficheros (KaZaA, eDonkey, eMule, Morpheus,...).
Modifica el Microsoft Outlook para permitirle recibir ficheros ejecutables.
Cuando Worm.W32/Saros@P2P+MM es ejecutado, realiza las siguientes acciones:
1. Intenta crear los siguientes directorios, que no son más, que copias de sí mismo:
* WINDOWS\system32\NonYou.exe
* WINDOWS\system32\Love-ScreenSaver.scr
* WINDOWS\system32\MSOutlookInternetUpdate.exe
* progra~1\Kazaa\My Shared Folder\Rosy.exe
* progra~1\Kazaa\My Shared Folder\Pipponoto.exe
* progra~1\Kazaa\My Shared Folder\Anastacia - Left Outside Alone.mp3.exe
* progra~1\Kazaa\My Shared Folder\The Rasmus - In The Shadows.mp3.exe
* progra~1\Kazaa\My Shared Folder\50 Cent - In da Club.mp3.exe
* progra~1\Kazaa\My Shared Folder\Vanessa Carltron - Ordinary Day.mp3.exe
* progra~1\Kazaa\My Shared Folder\Haiducii - Dragostea Din Tei.mp3.exe
* progra~1\Kazaa\My Shared Folder\Black Eyed Peas - Hey Mama.mp3.exe
* progra~1\Kazaa\My Shared Folder\Raf - In tutti i miei giorni.mp3.exe
* progra~1\Kazaa\My Shared Folder\Vasco Rossi - Buoni e cattivi.mp3.exe
* progra~1\Kazaa\My Shared Folder\Lionel Richie - Just For You.mp3.exe
* progra~1\Kazaa Lite\My Shared Folder\Rosy.exe
* progra~1\Kazaa Lite\My Shared Folder\Pipponoto.exe
* progra~1\Kazaa Lite\My Shared Folder\Anastacia - Left Outside Alone.mp3.exe
* progra~1\Kazaa Lite\My Shared Folder\The Rasmus - In The Shadows.mp3.exe
* progra~1\Kazaa Lite\My Shared Folder\50 Cent - In da Club.mp3.exe
* progra~1\Kazaa Lite\My Shared Folder\Vanessa Carltron - Ordinary Day.mp3.exe
* progra~1\Kazaa Lite\My Shared Folder\Haiducii - Dragostea Din Tei.mp3.exe
* progra~1\Kazaa Lite\My Shared Folder\Black Eyed Peas - Hey Mama.mp3.exe
* progra~1\Kazaa Lite\My Shared Folder\Raf - In tutti i miei giorni.mp3.exe
* progra~1\Kazaa Lite\My Shared Folder\Vasco Rossi - Buoni e cattivi.mp3.exe
* progra~1\Kazaa Lite\My Shared Folder\Lionel Richie - Just For You.mp3.exe
* progra~1\Kazaa Lite K++\My Shared Folder\Rosy.exe
* progra~1\Kazaa Lite K++\My Shared Folder\Pipponoto.exe
* progra~1\Kazaa Lite K++\My Shared Folder\Anastacia - Left Outside Alone.mp3.exe
* progra~1\Kazaa Lite K++\My Shared Folder\The Rasmus - In The Shadows.mp3.exe
* progra~1\Kazaa Lite K++\My Shared Folder\50 Cent - In da Club.mp3.exe
* progra~1\Kazaa Lite K++\My Shared Folder\Vanessa Carltron - Ordinary Day.mp3.exe
* progra~1\Kazaa Lite K++\My Shared Folder\Haiducii - Dragostea Din Tei.mp3.exe
* progra~1\Kazaa Lite K++\My Shared Folder\Haiducii - Dragostea din tei.mp3.exe
* progra~1\Kazaa Lite K++\My Shared Folder\Raf - In tutti i miei giorni.mp3.exe
* progra~1\Kazaa Lite K++\My Shared Folder\Vasco Rossi - Buoni e cattivi.mp3.exe
* progra~1\Kazaa Lite K++\My Shared Folder\Lionel Richie - Just For You.mp3.exe
* progra~1\ICQ\Shared Folder\Rosy.exe
* progra~1\ICQ\Shared Folder\Pipponoto.exe
* progra~1\ICQ\Shared Folder\Anastacia - Left Outside Alone.mp3.exe
* progra~1\ICQ\Shared Folder\The Rasmus - In The Shadows.mp3.exe
* progra~1\ICQ\Shared Folder\50 Cent - In da Club.mp3.exe
* progra~1\ICQ\Shared Folder\Vanessa Carltron - Ordinary Day.mp3.exe
* progra~1\ICQ\Shared Folder\Haiducii - Dragostea Din Tei.mp3.exe
* progra~1\ICQ\Shared Folder\Black Eyed Peas - Hey Mama.mp3.exe
* progra~1\ICQ\Shared Folder\Raf - In tutti i miei giorni.mp3.exe
* progra~1\ICQ\Shared Folder\Vasco Rossi - Buoni e cattivi.mp3.exe
* progra~1\ICQ\Shared Folder\Lionel Richie - Just For You.mp3.exe
* progra~1\Grokster\My Grokster\Rosy.exe
* progra~1\Grokster\My Grokster\Pipponoto.exe
* progra~1\Grokster\My Grokster\Anastacia - Left Outside Alone.mp3.exe
* progra~1\Grokster\My Grokster\The Rasmus - In The Shadows.mp3.exe
* progra~1\Grokster\My Grokster\50 Cent - In da Club.mp3.exe
* progra~1\Grokster\My Grokster\Vanessa Carltron - Ordinary Day.mp3.exe
* progra~1\Grokster\My Grokster\Haiducii - Dragostea Din Tei.mp3.exe
* progra~1\Grokster\My Grokster\Black Eyed Peas - Hey Mama.mp3.exe
* progra~1\Grokster\My Grokster\Raf - In tutti i miei giorni.mp3.exe
* progra~1\Grokster\My Grokster\Vasco Rossi - Buoni e cattivi.mp3.exe
* progra~1\Grokster\My Grokster\Lionel Richie - Just For You.mp3.exe
* progra~1\Bearshare\Shared\Rosy.exe
* progra~1\Bearshare\Shared\Pipponoto.exe
* progra~1\Bearshare\Shared\Anastacia - Left Outside Alone.mp3.exe
* progra~1\Bearshare\Shared\The Rasmus - In The Shadows.mp3.exe
* progra~1\Bearshare\Shared\50 Cent - In da Club.mp3.exe
* progra~1\Bearshare\Shared\Vanessa Carltron - Ordinary Day.mp3.exe
* progra~1\Bearshare\Shared\Haiducii - Dragostea Din Tei.mp3.exe
* progra~1\Bearshare\Shared\Black Eyed Peas - Hey Mama.mp3.exe
* progra~1\Bearshare\Shared\Raf - In tutti i miei giorni.mp3.exe
* progra~1\Bearshare\Shared\Vasco Rossi - Buoni e cattivi.mp3.exe
* progra~1\Bearshare\Shared\Lionel Richie - Just For You.mp3.exe
* progra~1\eDonkey2000\Incoming\Rosy.exe
* progra~1\eDonkey2000\Incoming\Pipponoto.exe
* progra~1\eDonkey2000\Incoming\Anastacia - Left Outside Alone.mp3.exe
* progra~1\eDonkey2000\Incoming\The Rasmus - In The Shadows.mp3.exe
* progra~1\eDonkey2000\Incoming\50 Cent - In da Club.mp3.exe
* progra~1\eDonkey2000\Incoming\Vanessa Carltron - Ordinary Day.mp3.exe
* progra~1\eDonkey2000\Incoming\Haiducii - Dragostea Din Tei.mp3.exe
* progra~1\eDonkey2000\Incoming\Black Eyed Peas - Hey Mama.mp3.exe
* progra~1\eDonkey2000\Incoming\Raf - In tutti i miei giorni.mp3.exe
* progra~1\eDonkey2000\Incoming\Vasco Rossi - Buoni e cattivi.mp3.exe
* progra~1\eDonkey2000\Incoming\Lionel Richie - Just For You.mp3.exe
* progra~1\eMule\Incoming\Rosy.exe
* progra~1\eMule\Incoming\Pipponoto.exe
* progra~1\eMule\Incoming\Anastacia - Left Outside Alone.mp3.exe
* progra~1\eMule\Incoming\The Rasmus - In The Shadows.mp3.exe
* progra~1\eMule\Incoming\50 Cent - In da Club.mp3.exe
* progra~1\eMule\Incoming\Vanessa Carltron - Ordinary Day.mp3.exe
* progra~1\eMule\Incoming\Haiducii - Dragostea Din Tei.mp3.exe
* progra~1\eMule\Incoming\Black Eyed Peas - Hey Mama.mp3.exe
* progra~1\eMule\Incoming\Raf - In tutti i miei giorni.mp3.exe
* progra~1\eMule\Incoming\Vasco Rossi - Buoni e cattivi.mp3.exe
* progra~1\eMule\Incoming\Lionel Richie - Just For You.mp3.exe
* progra~1\Morpheus\My Shared Folder\Rosy.exe
* progra~1\Morpheus\My Shared Folder\Pipponoto.exe
* progra~1\Morpheus\My Shared Folder\Anastacia - Left Outside Alone.mp3.exe
* progra~1\Morpheus\My Shared Folder\The Rasmus - In The Shadows.mp3.exe
* progra~1\Morpheus\My Shared Folder\50 Cent - In da Club.mp3.exe
* progra~1\Morpheus\My Shared Folder\Vanessa Carltron - Ordinary Day.mp3.exe
* progra~1\Morpheus\My Shared Folder\Haiducii - Dragostea Din Tei.mp3.exe
* progra~1\Morpheus\My Shared Folder\Black Eyed Peas - Hey Mama.mp3.exe
* progra~1\Morpheus\My Shared Folder\Raf - In tutti i miei giorni.mp3.exe
* progra~1\Morpheus\My Shared Folder\Vasco Rossi - Buoni e cattivi.mp3.exe
* progra~1\Morpheus\My Shared Folder\Lionel Richie - Just For You.mp3.exe
* progra~1\LimeWire\Shared\Rosy.exe
* progra~1\LimeWire\Shared\Pipponoto.exe
* progra~1\LimeWire\Shared\Anastacia - Left Outside Alone.mp3.exe
* progra~1\LimeWire\Shared\The Rasmus - In The Shadows.mp3.exe
* progra~1\LimeWire\Shared\50 Cent - In da Club.mp3.exe
* progra~1\LimeWire\Shared\Vanessa Carltron - Ordinary Day.mp3.exe
* progra~1\LimeWire\Shared\Haiducii - Dragostea Din Tei.mp3.exe
* progra~1\LimeWire\Shared\Black Eyed Peas - Hey Mama.mp3.exe
* progra~1\LimeWire\Shared\Raf - In tutti i miei giorni.mp3.exe
* progra~1\LimeWire\Shared\Vasco Rossi - Buoni e cattivi.mp3.exe
* progra~1\LimeWire\Shared\Lionel Richie - Just For You.mp3.exe
* progra~1\Tesla\Files\Rosy.exe
* progra~1\Tesla\Files\Pipponoto.exe
* progra~1\Tesla\Files\Anastacia - Left Outside Alone.mp3.exe
* progra~1\Tesla\Files\The Rasmus - In The Shadows.mp3.exe
* progra~1\Tesla\Files\50 Cent - In da Club.mp3.exe
* progra~1\Tesla\Files\Vanessa Carltron - Ordinary Day.mp3.exe
* progra~1\Tesla\Files\Haiducii - Dragostea Din Tei.mp3.exe
* progra~1\Tesla\Files\Black Eyed Peas - Hey Mama.mp3.exe
* progra~1\Tesla\Files\Raf - In tutti i miei giorni.mp3.exe
* progra~1\Tesla\Files\Vasco Rossi - Buoni e cattivi.mp3.exe
* progra~1\Tesla\Files\Lionel Richie - Just For You.mp3.exe
* progra~1\WinMX\Shared\Rosy.exe
* progra~1\WinMX\Shared\Pipponoto.exe
* progra~1\WinMX\Shared\Anastacia - Left Outside Alone.mp3.exe
* progra~1\WinMX\Shared\The Rasmus - In The Shadows.mp3.exe
* progra~1\WinMX\Shared\50 Cent - In da Club.mp3.exe
* progra~1\WinMX\Shared\Vanessa Carltron - Ordinary Day.mp3.exe
* progra~1\WinMX\Shared\Haiducii - Dragostea Din Tei.mp3.exe
* progra~1\WinMX\Shared\Black Eyed Peas - Hey Mama.mp3.exe
* progra~1\WinMX\Shared\Raf - In tutti i miei giorni.mp3.exe
* progra~1\WinMX\Shared\Vasco Rossi - Buoni e cattivi.mp3.exe
* progra~1\WinMX\Shared\Lionel Richie - Just For You.mp3.exe
2. Crea el fichero \WINDOWS\system32\About.hta, que es un archivo html sin contenido dañino.
3. Muestra el siguiente mensaje:
Título: Microsoft Windows Update
Texto: Click Yes For Update Microsoft Outlook via E-mail
4. Crea y ejecuta el fichero \WINDOWS\system32\nstdnrdll32.vbs.
Este archivo VBScript realiza las siguientes acciones:
* Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade los valores indicados a las siguientes claves del registro de Windows:
Clave: "H_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce\wincomp32\Valor: default" = "WINDOWS\system32\nstdnrdll32.vbs
Clave: "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\nldr32\Valor: default" = "WINDOWS\system32\NonYou.exe"
* Para impedir que se bloquee la entrada de fichero ejecutables de extensión .exe en Outlook, añade los valores indicados a las siguientes claves del registro de Windows:
Clave: "HKEY_CURRENT_USER\Software\Microsoft\Office\8.0\Outlook\Security\Valor: Level1Remove"="exe"
Clave: "HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Security\Valor: Level1Remove"="exe"
Clave: "HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Security\Valor: Level1Remove"="exe"
* Crea el archivo \WINDOWS\system32\Love-ScreenSaver.cab, que contiene una copia del gusano.
* Comprueba la fecha del sistema, y en caso de que sea día 11 o 23, cambiará la página inicial del Internet Explorer a
www.gedzac.tk, y abrirá el fichero \WINDOWS\system32\About.hta en un navegador.
* Envía un correo electrónico a todas las direcciones incluidas en la libreta de contactos de Microsoft Outlook.
El mensaje enviado tiene las siguientes características:
Asunto: Microsoft Outlook News
Cuerpo: Microsoft Outlook Update / Bug Fixed - Contact:
[email protected]Fichero Anexo: MSOutlookInternetUpdate.exe
* Accede al sitio web
www.windowsupdate.com.
5. Realiza la siguiente modificación en el fichero \Archivos de programa\mIRC\mirc.ini
En la sección: [rfiles]
Añade la linea: n2 = tdll32.dll
6. Abre el fichero Archivos de programa\mIRC\tdll32.dll, y escribe una rutina para enviar el fichero Love-ScreenSaver.cab a otros usuarios de MIRC.
7. Comprueba la fecha del sistema. En caso de que sea día 11 o 23, mostrará los siguientes mensajes:
Título: Title: NonYou
Texo: Rosy Ti Amo - Saro & Rosy Forever
Título: Gedzac Group 2004
Tetxo: NonYou.a Gedzac Labs Productions
Coded by Sarosoft - Dedicated to my Love Ros
Gedzac Group 2004 - http:/ /www.gedzac.tk
Gedzac
The Virus Crew
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4152FuthNombre completo: Backdoor.W32/Futh
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 307200
Alias:Backdoor.Futh
Troyano con capacidad para actuar como puerta trasera, permitiendo el acceso remoto no autorizado al equipo.
Por defecto, utiliza los puertos TCP 7896 y 7897 para comunicarse con el intruso.
Cuando Backdoor.W32/Futh es ejecutado, realiza las siguientes acciones:
1. En sistemas Windows 98/Me/XP, se copia a sí mismo como:
* C:\Windows\WliveUPdate.exe
* C:\WindowsDAT.exe
2. Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade los valores indicados a las siguientes claves del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Valor: "MAT" = "C:\Windows\WliveUPdate.exe"
Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\Valor: "NortonAVProtect" = "C:\Windows\WliveUPdate.exe"
Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\Valor: "Player00997" = "C:\Windows\WliveUPdate.exe"
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Valor: "Shell2938" = "C:\Windows\WliveUPdate.exe"
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce\Valor: "QuickTask" = "C:\Windows\WliveUPdate.exe"
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\Valor: "FTH2004" = "C:\WindowsDAT.exe"
3. Para deshabilitar el editor del registro (regedit.exe) añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Valor: "DisableRegistryTools" = 0x1
4. Abre una puerta trasera a través de los puertos TCP 7896 y 7897 (por defecto).
Esto podría permitir al atacaante remoto realizar cualquiera de las siguientes acciones:
* Captura de las pulsaciones realizadas sobre el teclado.
* Leer el texto del portapapeles.
* Activar el salvapantallas.
* Abrir y cerrar la bandeja del CD-ROM.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4151El troyano de Pocket PC ya está "en la calle" El término "In the Wild" (que traducido sería algo así como "en lo salvaje"), en el mundo de los virus simplemente significa que se trata de un código malicioso que ha sido detectado en alguna máquina infectada de alguna parte del mundo, o dicho de otro modo, que ha sido reportado "en la calle".
Este término está relacionado con otro, utilizado cuando los códigos creados son solo experimentos de laboratorio. En ese caso, se dice que el bicho se encuentra "In the Zoo", o sea, en el zoológico, y ha sido realizado como materia de estudio o como comprobación de algunos conceptos. Este tipo de virus, generalmente sirve para implementar protecciones antes que un código peligroso sea liberado por otras personas.
Cuando se dice que un virus está "en la calle", por lo tanto, se indica que el mismo, de algún modo, ya ha infectado a algún usuario y ha dejado de ser una simple prueba de laboratorio.
Este es el caso del "Brador", nombre asignado por los principales fabricantes de antivirus al primer troyano conocido para PocketPC (ver "WCE/Brador.A. Primer troyano de PocketPC",
http://www.vsantivirus.com/brador-a.htm).
Detectado por Kaspersky Labs la semana pasada, Brador es un troyano capaz de infectar a las famosas computadoras de bolsillo, lo que cambia radicalmente muchos de los conceptos de aquellos que se creían hasta ahora a salvo de esta posibilidad.
Aunque no es demasiado sofisticado, Brador destaca un problema que seguramente será en el futuro más pronunciado, a medida que crezca el uso de los PDA (Personal Digital Organizer), como lo parece indicar la tendencia actual.
Aunque es poco probable que alguien sospeche de su "inteligente" y sofisticado teléfono celular, ya existe un gusano que se aprovecha de ellos (ver "EPOC/Cabir.A. El primer gusano de teléfonos móviles",
http://www.vsantivirus.com/epoc-cabir-a.htm).
Lo cierto es que mientras los perímetros de seguridad aumentan, aunque sea en forma lenta (antivirus y otras protecciones perimetrales de protección), los atacantes buscarán puntos de entrada alternativos.
El clásico troyano de puerta trasera (backdoor), que ingresa por una conexión de acceso telefónico, es todavía demasiado común, aunque no a los mismos niveles del pasado. Eso podría ocultar para muchas personas, el peligro en que se están convirtiendo otras vías alternativas.
En poco tiempo, los PDA podrían convertirse en el blanco perfecto para los atacantes. Por defecto, son demasiado inseguros, y generalmente pueden eludir protecciones como la de cortafuegos o antivirus, al conectarse a una red.
Si agregamos a esto las capacidades inalámbricas innatas de estos elementos, a menudo vía 802.11b, Bluetooth, o infrarrojos, y a una poco conocida capacidad de autoejecución (resaltada en la última conferencia de los hackers de sombrero negro --Black Hat-- y en recientes conferencias de seguridad como las de DefCon), podremos ver en estos elementos un punto crítico de entrada para los futuros ataques de códigos maliciosos.
Más información:
http://www.vsantivirus.com/09-08-04.htm
