W32/Lovgate.AN. Se propaga por redes, e-mail, KaZaaNombre: W32/Lovgate.AN
Tipo: Gusano de Internet
Alias: Lovgate.AN, W32.Lovgate.AN@mm
Plataforma: Windows 32-bit
Tamaño: 129,536 bytes
Fecha: 7/ago/04
Puerto: TCP 6000
Gusano que se propaga masivamente por correo electrónico, y recursos compartidos en redes.
La máquina infectada puede ser accedida por un atacante a través de una puerta trasera instalada por el gusano.
Es capaz de renombrar archivos .EXE como .ZMX
Los mensajes infectados pueden tener adjuntos con extensiones .EXE, .PIF, .SCR, .COM, .RAR o .ZIP.
Utiliza su propio motor SMTP para enviarse a todos los contactos de la libreta de direcciones de Windows y del Outlook, y a todas las direcciones que extrae de archivos de las máquinas infectadas.
Se envía como respuesta a mensajes no leídos encontrados en la bandeja de entrada del Outlook, Outlook Express y otros clientes de correo compatibles.
Estos son los detalles del mensaje:
Asunto: Re: [asunto del mensaje que se responde]
Para: [destinatario] @ [dominio]
Texto del mensaje:
[destinatario] wrote:
====
> [texto del mensaje que se responde]
====
[dominio] account auto-reply:
... ... more details,look to the attachment.
> Get your FREE [dominio] account now! <
Donde [dominio] es el mismo dominio del destinatario.
Datos adjuntos: [uno de los siguientes]
Butterfly Garden.scr
dreamweaver MX (crack).exe
FlashFXP.exe
HyperSnap-DX v5.rar.exe
Industry Giant II.exe
joke.exe
Macromedia Flash.scr
MacroMedia.pif
Matrix Reloaded 3D.exe
MSN Messenger.exe
MyIE.AVI.pif
Photoshop.EXE
s3msong.MP3.pif
Shakira.zip.exe
StarWars2 - CloneAttack.rm.scr
WindowsXP Creak.exe
Cuando se ejecuta, el gusano crea los siguientes archivos en la máquina infectada:
\autorun.inf
\update.exe
c:\windows\office.exe
c:\windows\video.exe
c:\windows\system\hxdef.exe
c:\windows\system\iexplore.exe
c:\windows\system\iexplorer.exe
c:\windows\system\kernel66.dll
c:\windows\system\lmmib20.dll
c:\windows\system\msjdbc11.dll
c:\windows\system\mssign30.dll
c:\windows\system\odbc16.dll
c:\windows\system\real.exe
c:\windows\system\tkbellexe.exe
c:\windows\system\update_ob.exe
El archivo KERNEL66.DLL es copiado con los atributos de solo lectura, oculto y del sistema (+R +H +S).
NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.).
Modifica las siguientes claves del registro, para que cada intento de abrir un archivo .TXT ejecute al gusano:
HKCR\txtfile\shell\open\command(Predeterminado) = update_ob.exe %1
HKLM\Software\Classes\txtfile\shell\open\command(Predeterminado) = update_ob.exe %1
También genera las siguientes entradas en el registro, para autoejecutarse en cada reinicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Inc. = iexplorer.exe...
Program In Windows = c:\windows\system\iexplore.exe
Protected Storage = rundll32.exe mssign30.dll ondll_reg...
VFW Encoder/Decoder Settings = rundll32.exe mssign30.dll ondll_reg...
WinHelp = c:\windows\system\tkbellexe.exe...
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Installed shell32.dll = Office.exe...
Soft Profile Inc = c:\windows\system\hxdef.exe...
SystemTra = C:\WINDOWS\Video.EXE
En equipos con Windows NT, 2000 y XP, crea también las siguientes entradas:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run = real.exe
Crea un recurso compartido en red con el siguiente nombre:
JAVA
El mismo está mapeado a la siguiente ubicación:
c:\windows\JAVA
Se copia en todas las carpetas y subcarpetas, de todos los recursos compartidos, con los siguientes nombres:
autoexec.bat
Daemon Tools v3.41.exe
eMule-0.42e-VeryCD0407Install.exe
EnterNet 500 V1.5 RC1.exe
Flash2X Flash Hunter v1.1.2.pif
FoxMail V5.0.500.0.exe
i386.exe
Microsoft Office.exe
Minilyrics_Std_2.7.233.pif
Serv-U FTP Server 4.1.exe
Support Tools.exe
Winamp skin_FinalFantasy.exe
Windows 2000 sp4.ZIP.exe
Windows Media Player.zip.exe
WinGate V5.0.10 Build.exe
WINISO 5.3.exe
Localiza la carpeta compartida de la utilidad KaZaa y se copia en ella con los siguientes nombres (y extensiones .BAT, .EXE, .PIF, o .SCR):
[nombre al azar]
BlackIcePCPSetup_creak
HEROSOFT
orcard_original_creak
Passware5.3
rainbowcrack-1.1-win
REALONE
setup
W32Dasm
word_pass_creak
wrar320sc
Crea dos archivos llamados "UPDATE.EXE" y "AUTORUN.INF" respectivamente, y los copia en el directorio raíz de todas las unidades de disco excepto CDROM y removibles.
El archivo AUTORUN.INF contiene las instrucciones para ejecutar UPDATE.EXE.
Crea un archivo con alguno de los siguientes nombres en el raíz de todos las unidades de discos, excepto A y B:
[nombre de archivo].RAR
Donde [nombre de archivo] es cualquiera de los siguientes:
Bakeup
email
ghost
Cada archivo comprimido contiene una copia del gusano.
Intenta renombrar todos los archivos con extensión .EXE como .ZMX, en todos los discos duros, removibles o mapeados, de la C a la Z. Estos archivos son puestos con los atributos de ocultos y de sistema (+H +S). Luego se copia el mismo con el nombre del .EXE original.
Por ejemplo, un archivo NOMBRE.EXE es renombrado como NOMBRE.ZMX (oculto), y luego el gusano se copia como NOMBRE.EXE.
Escucha por el puerto TCP 6000. El proceso de acceso remoto por puerta trasera (backdoor), roba información del sistema comprometido. Esta información es almacenada por el troyano en el siguiente archivo:
c:\netlog.txt
Luego, la misma puede ser enviada vía correo electrónico a un usuario remoto.
También examina todas las máquinas de la red local (si existiera), e intenta logearse en ellas como administrador, utilizando alguna de las siguientes contraseñas:
!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
0
110
111
111111
11111111
121212
123
123123
1234
12345
123456
1234567
12345678
123456789
123abc
123asd
2003
2004
2600
321
54321
654321
666666
7
888888
88888888
aaa
abc
abc123
abcd
abcdef
abcdefg
Admin
admin
admin123
Administrator
administrator
alpha
asdf
asdfgh
computer
database
enable
god
godblessyou
Guest
guest
home
Internet
login
Login
love
mypass
mypass123
mypc
mypc123
oracle
owner
pass
passwd
Password
password
pw123
pwd
root
secret
server
sex
sql
super
sybase
temp
temp123
test
test123
win
yxcv
zxcv
zzz
El gusano también intenta logearse como administrador si la cuenta no tiene contraseña.
Si obtiene éxito, se copia a si mismo como TELEPHONE.EXE en la siguiente ubicación:
\\[computadora]\admin$\system32\TelePhone.exe
También inicia un servicio llamado "NetWork Associates Inc" que es mapeado como "TelePhone.exe -exe_start".
Intenta finalizar los procesos activos cuyos nombres contengan las siguientes cadenas:
Duba
Gate
KAV
kill
KV
McAfee
NAV
RavMon.exe
Rfw.exe
rising
SkyNet
Symantec
También detiene los siguientes servicios:
Rising Realtime Monitor Service
Symantec AntiVirus Client
Symantec AntiVirus Server
Más información:
http://www.vsantivirus.com/lovgate-an.htmW32/Gaobot.LT. Se copia como "systemcfg.exe"Nombre: W32/Gaobot.LT
Tipo: Gusano de Internet y caballo de Troya
Alias: Gaobot.LT, Agobot.LT, W32/Agobot-LT, WORM_AGOBOT.OC, WORM_AGOBOT.GEN, Backdoor.Agobot.gen, W32/Gaobot.worm.gen, W32.HLLW.Gaobot.gen
Fecha: 7/ago/04
Plataforma: Windows NT, 2000 y XP
Puertos: TCP/135, TCP/445, TCP/80, TCP/6667
Es un gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de conocidas vulnerabilidades.
Un intruso pueda acceder en forma remota a la computadora infectada, a través del IRC.
Se ejecuta solo en Windows NT, 2000 y XP, e intenta robar contraseñas y claves de conocidos juegos de computadora.
Se copia en el sistema infectado con el siguiente nombre:
c:\windows\system32\systemcfg.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Agrega las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Configurator32 = "systemcfg.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Configurator32 = "systemcfg.exe"
Modifica el archivo HOSTS para que los siguientes sitios no puedan ser accedidos desde una máquina infectada:
avp .com
ca .com
customer .symantec .com
dispatch .mcafee .com
download .mcafee .com
f-secure .com
kaspersky .com
liveupdate .symantec .com
liveupdate .symantecliveupdate .com
mast .mcafee .com
mcafee .com
my-etrust .com
nai .com
networkassociates .com
rads .mcafee .com
secure .nai .com
securityresponse .symantec .com
sophos .com
symantec .com
trendmicro .com
update .symantec .com
updates .symantec .com
us .mcafee .com
viruslist .com
viruslist .com
www .avp .com
www .ca .com
www .f-secure .com
www .kaspersky .com
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .trendmicro .com
www .viruslist .com
El gusano roba del PC infectado, los posibles identificadores y llaves (CD keys) de conocidos video juegos.
Posee además un componente de acceso remoto por puerta trasera vía IRC, que permite a un atacante realizar numerosas acciones en el equipo infectado, incluidos ataques de denegación de servicio (DoS), a blancos específicos. Algunas acciones posibles:
* Ejecutar comandos en forma remota
* Eliminar procesos seleccionados
* Examinar el tráfico HTTP, FTP, e IRC (sniffer)
* Finalizar servicios de Windows
* Listar los procesos activos
* Obtener archivos a través de FTP y HTTP
* Obtener direcciones de correo de la computadora infectada
* Obtener información del registro
* Obtener un determinado URL
* Realizar ataques del tipo "floods" (HTTP, ICMP, SYN, y UDP)
* Reiniciar la computadora
* Robar contraseñas
Cuando se ejecuta, puede detener varios procesos, algunos de ellos pertenecientes a conocidos antivirus y cortafuegos. Nombre de los procesos y más información:
http://www.vsantivirus.com/gaobot-lt.htm Cabanas Primer virus conocido que funciona bajo Windows NT, Windows 95 y Windows 3.x con el subsistema Win32s. Descubierto en 1997.
Nombre completo: W32/Cabanas
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Win32.Cabanas, Win32.Cabanas.a
Cabanas es un virus residente por procesos, semi-encriptado, con algunas capacidades de stealth y anti-heurística, también maneja técnicas de anti-depuración por lo que su trazado requiere conocimientos de la implementación del procesados 386+.
La primera vez que se ejecuta un archivo infectado, el virus desencripta parte de su código donde contiene los nombres de varias funciones de Windows, antes de llamar a estas funciones trata de obtener la dirección base del KERNEL32. Localizada la dirección base del Kernel, Win32/Cabanas infecta todos los archivos *.EXE, *.SRC del directorio \WINDOWS, \WINDOWS\SYTEM y el folder actual.
El virus se enlaza a las siguientes funciones: GetProcAddress, GetFileAttributesA, GetFileAttributesW, MoveFileExA, MoveFileExW, _lopen, CopyFileA, CopyFileW, OpenFile, MoveFileA, MoveFileW, CreateProcessA, CreateProcessW, CreateFileA, CreateFileW, FindClose, FindFirstFileA, FindFirstFileW, FindNextFileA, FindNextFileW, SetFileAttrA y SetFileAttrW.
Cuando un programa invoca estas funciones el virus se activa e infecta el archivo o proceso activo, algunas funciones son utilizadas también como ocultamiento.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4150
