« anterior próximo »
Páginas: [1]   Ir Abajo

Autor Tema: 20 de agosto, virus  (Leído 3216 veces)

Desconectado Danae

  • Administrator
  • *
  • Mensajes: 3211
  • Casi siempre en el armario.
    • windowsfacil, primeros pasos con windows y el pc
20 de agosto, virus
« en: 20 de Agosto de 2004, 01:13:43 pm »
W32/Atak.C. Se propaga por correo electrónico
 Nombre: W32/Atak.C
Tipo: Gusano de Internet
Alias: Atak.C, I-Worm.Atak.c, I-Worm.Atak.C, I-Worm/Atak.C, W32.Atak.C@mm, W32/Atak.C, W32/Atak.C.worm, W32/Atak.c@MM, W32/Atak-C, Win32.Atak.C, Win32.Atak.C@mm, Win32.HLLM.Atak.C, Win32/Atak.C, Win32/Atak.C.Worm, Win32/Atak.C@mm, Worm.Atak.C, Worm/Atak.C, WORM_ATAK.C
Plataforma: Windows 32-bit
Tamaño: 140,768 bytes
Este gusano, escrito en Visual C++ 5.0, se propaga por correo electrónico, a través de mensajes con las siguientes características:
De: [usuario]
Donde [usuario] puede ser una dirección falsa, o uno de los siguientes nombres más un dominio al azar, seleccionado de direcciones obtenidas en la computadora infectada:
account
adam
admin
alex
alice
anna
anthony
antispam
anyone
bill
bob
brian
brovac
bugs
carey
certific
claudia
connie
contact
chang
dave
david
dolly
elvin
feste
fred
freddy
george
hanson
harry
helen
help
humm
jack
james
jane
jerry
jim
jimmy
joe
john
jose
joshua
julie
kevin
lenny
linda
lissy
maria
marie
mary
matt
me
michael
mike
niky
no
nobody
noone
not
nothing
otto
penny
peter
privacy
rating
reject
robert
ronnie
sam
service
site
smith
soft
somebody
someone
stan
stella
stephen
steve
steven
support
tom
undisclose
vivian
vladimir
walter
william
you
your
zidane
Asunto: [uno de los siguientes]
- always smile ;-D
- bad news
- big ears!
- Expected!
- Familiar
- Fwd:
- ginie file!
- got my file!
- gotcha! ;-)
- greet
- happy go lucky
- happy!
- helo
- hi!
- History
- hmmm..
- home sweet home!?
- huh!
- hurry up !!!
- I know you!!
- interesting
- keep plz!
- Keep Up to date
- known issue
- New Website
- plz help us
- Product Update
- rate this!
- Re:
- Report
- Reserved for you
- thank for the idea
- the sender
- Top 10 Hoax!
- varios
- vote me again!
- Warning!
- what the tuut!!
- wrong file!
- you again!
- Your Account
Texto del mensaje: [uno de los siguientes]
- Because of our services are not configured properly.
We have converted your message as an attachment.
Please download the file to read.
- Don't get wrong anymore! Hope the files is right!
- Here it is my response. Please reply back if got an idea. Hope this is not a wrong file as you told me.
- If you found this email with an attachment please refer to the email attachment in order to read the sender email. You have received this email with an email attachment. Please refer to your email attachment if you want to read the message.

- Please note that your message has been converted to an attachment. Please refer to the attachment in order to read the file.
- So, this is the correct file. Have you read the file in the attachment?
- Sorry, I'm late yesterday. But please read the file first! I really need your help!
- Thanks for watching.
- The previous file i have sended to you before are not correct.
Datos adjuntos: [1]+[2]
Donde [1] es uno de los siguientes nombres:
against
bitdefender
content
exporter
f-secure
finish
gangster
hundred
idea
important
indoor
install
Issue
mcafee
panda
protect
readme
reminder
router
seek
setup
skipper
slam
slipper
something
sophos
symantec
unseen
word_file
Y [2] es una de las siguientes extensiones:
.bat
.com
.exe
.pif
.scr
.zip
La infección se produce solo cuando el usuario ejecuta el adjunto recibido. En ese caso, se crea el siguiente archivo:
c:\windows\system\svrhost.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
El gusano también crea copias de si mismo en la carpeta de inicio del usuario actual, con un nombre al azar y extensión .EXE o .BAT.
La carpeta de inicio puede ser alguna de las siguientes:
* Windows XP, 2000 (español e inglés)
c:\documents and settings
\[nombre usuario]\menú inicio\programas\inicio
c:\documents and settings
\[nombre usuario]\start menu\programs\startup
* Windows 95, 98, Me (español e inglés)
c:\windows\menú inicio\programas\inicio
c:\windows\start menu\programs\startup
c:\windows\profiles\[nombre usuario]
\menú inicio\programas\inicio
c:\windows\profiles\[nombre usuario]
\start menu\programs\startup
Crea la siguiente entrada para ejecutarse en cada reinicio (Windows NT, 2000 y XP):
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
svrhost = c:\windows\system\svrhost.exe
También puede modificar el archivo C:\WINDOWS\WIN.INI para ejecutarse en cada reinicio (Windows 95, 98 y Me):
[Windows]
load = c:\windows\system\svrhost.exe
Las direcciones de correo a las que se envía, son obtenidas de aquellos archivos de la máquina infectada, que tengan las siguientes extensiones:
.adb
.asp
.cfg
.cgi
.dbx
.eml
.html
.jsp
.log
.mbx
.mht
.msg
.nch
.ods
.php
.pl
.sht
.tbb
.uin
.vbs
.wab
.xml
El gusano utiliza su propio motor SMTP para enviarse. Intenta obtener el servidor SMTP del usuario infectado desde el registro. En caso contrario, realiza consultas a diversos servidores DNS.
Para no ejecutarse más de una vez en memoria, crea un mutex con el siguiente nombre:
MuTexasv01
El gusano no se ejecuta si detecta la presencia de algún "debugger" como "SoftIce" en el sistema. Un debugger permite examinar paso a paso la ejecución de un programa para examinarlo y es utilizado a menudo por los investigadores de virus.
También borra archivos y entradas del registro relacionadas con otros gusanos.
Más información: http://www.vsantivirus.com/atak-c.htm

W32/Protoride.W. Se copia como MSUPDATE.EXE
Nombre: W32/Protoride.W
Tipo: Gusano y Caballo de Troya de acceso remoto
Alias: Protoride.W, BackDoor.IRC.Cirilico, Protoride.I, W32/Protoride.H, Trojan.Protoride, W32.Protoride.Worm, W32/Protoride.B.worm, W32/Protoride.worm.dam, W32/Protoride-D, Win32.Protoride.J, Win32.Worm.Protoride.C, Win32/Protoride.W, Win32/Protoride.Worm, Worm.Protoride.H, Worm.Win32.Protoride.F, Worm.Win32.Protoride.k, Worm/Protoride.K, Worm/Protoride.S, WORM_PROTORIDE.S
Plataforma: Windows 32-bit
Tamaño: 73,728 bytes (UPX)
Se propaga a través de recursos compartidos en redes, intentando acceder a ellos utilizando diferentes nombres de usuario y contraseñas incluidos en su propio código. Posee capacidad de acceso remoto clandestino por puerta trasera (backdoor).
Posee su propio cliente IRC (Internet Relay Chat), con el cuál intenta acceder a un determinado servidor de IRC. Una vez conectado a él, envía mensajes privados a un usuario remoto, notificándolo de su presencia, y queda a la espera de posibles comandos.
Los comandos disponibles están en español, y permiten acciones como el robo de información confidencial del usuario infectado, tales como contraseñas, nombres de usuario, etc.
El gusano intenta copiarse en los siguientes directorios, con el nombre de MSUPDATE.EXE:
\Documents and Settings\All Users\Kynnist-valikko\Ohjelmat\Kynnistys\
\Documents and Settings\All Users\Men Inicio\Programas\Inicio\
\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
\Documents and Settings\All Users\Menu Iniciar\Programas\Iniciar\
\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\
\Documents and Settings\All Users\Menu Start\Programy\Autostart\
\Documents and Settings\All Users\Menuen Start\Programmer\Start\
\Documents and Settings\All Users\Start Menu\Programlar\BASLANGI
\Documents and Settings\All Users\Start Menu\Programs\StartUp\
\Documents and Settings\All Users\Start-meny\Programmer\Oppstart\
\Documents and Settings\All Users\Start-menyn\Program\Autostart\
\Dokumente und Einstellungen\All Users\Startmen
\Programme\Autostart\
\WIN95\Kynnist-valikko\Ohjelmat\Kynnistys
              \Documents and Settings\All Users\Menu Dmarrer\Programmes\Dmarrage\
\WIN95\Menú Inicio\Programas\Inicio\
\WIN95\Menu Avvio\Programmi\Esecuzione automatica\
\WIN95\Menu Dmarrer\Programmes\Dmarrage\
\WIN95\Menu Iniciar\Programas\Iniciar\
\WIN95\Menu Start\Programma's\Opstarten\
\WIN95\Menu Start\Programy\Autostart\
\WIN95\Menuen Start\Programmer\Start\
\WIN95\MenuIniciar\Programas\Iniciar\
\WIN95\Start Menu\Programlar\BASLANGI
\WIN95\Start Menu\Programs\StartUp\
\WIN95\Startmen
\WIN95\Start-meny\Programmer\Oppstart\
\WIN95\Start-menyn\Program\Autostart\
\WIN98\Kynnist-valikko\Ohjelmat\Kynnistys\
\WIN98\Menú Inicio\Programas\Inicio\
\WIN98\Menu Avvio\Programmi\Esecuzione automatica\
\WIN98\Menu Dmarrer\Programmes\Dmarrage\
\WIN98\Menu Iniciar\Programas\Iniciar\
\WIN98\Menu Start\Programma's\Opstarten\
\WIN98\Menu Start\Programy\Autostart\
\WIN98\Menuen Start\Programmer\Start\
\WIN98\MenuIniciar\Programas\Iniciar\
\WIN98\Start Menu\Programlar\BASLANGI
\WIN98\Start Menu\Programs\StartUp\
\WIN98\Startmen
\WIN98\Start-meny\Programmer\Oppstart\
\WIN98\Start-menyn\Program\Autostart\
\WINDOWS.000\Menú Inicio\Programas\Inicio\
\WINDOWS.000\Menu Iniciar\Programas\Iniciar\
\WINDOWS.000\Start Menu\Programs\StartUp\
\WINDOWS.000\Startmen
\WINDOWS\Kynnist-valikko\Ohjelmat\Kynnistys\
\WINDOWS\Menú Inicio\Programas\Inicio\
\WINDOWS\Menu Avvio\Programmi\Esecuzione automatica\
\WINDOWS\Menu Dmarrer\Programmes\Dmarrage\
\WINDOWS\Menu Iniciar\Programas\Iniciar\
\WINDOWS\Menu Start\Programma's\Opstarten\
\WINDOWS\Menu Start\Programy\Autostart\
\WINDOWS\Menuen Start\Programmer\Start\
\WINDOWS\MenuIniciar\Programas\Iniciar\
\WINDOWS\Start Menu\Programlar\BASLANGI
\WINDOWS\Start Menu\Programs\StartUp\
\WINDOWS\Startmen
\WINDOWS\Start-meny\Programmer\Oppstart\
\WINDOWS\Start-menyn\Program\Autostart\
\WINME\Kynnist-valikko\Ohjelmat\Kynnistys\
\WINME\Menú Inicio\Programas\Inicio\
\WINME\Menu Avvio\Programmi\Esecuzione automatica\
\WINME\Menu Dmarrer\Programmes\Dmarrage\
\WINME\Menu Iniciar\Programas\Iniciar\
\WINME\Menu Start\Programma's\Opstarten\
\WINME\Menu Start\Programy\Autostart\
\WINME\Menuen Start\Programmer\Start\
\WINME\MenuIniciar\Programas\Iniciar\
\WINME\Start Menu\Programlar\BASLANGI
\WINME\Start Menu\Programs\StartUp\
\WINME\Startmen
\WINME\Start-meny\Programmer\Oppstart\
\WINME\Start-menyn\Program\Autostart\
También modifica la siguiente entrada en el registro para ejecutarse cada vez que se accede a un archivo .EXE:
HKCR\exefile\shell\open\command
(Predeterminado) = [camino y nombre del gusano] "%1" %*
También crea las siguientes entradas, la primera para autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"" = [camino y nombre del gusano]
HKLM\Software\BeyonD inDustries\ProtoType[v2]
El gusano se propaga por redes locales, copiándose en todos los recursos compartidos con permisos de escritura disponibles. Si existen contraseñas, intenta con varios nombres de usuario y claves predeterminadas, disponibles en su código.
Utiliza su propio cliente IRC para conectarse a uno de los siguientes servidores donde crea un canal especial o una sala de chat:
naipe.damaged.com.ar
naipe.no-ip.org
Luego envía un mensaje privado a un usuario determinado.
Cualquier usuario que tenga acceso al canal creado, puede ingresar a los equipos infectados, pudiendo realizar cualquiera de las siguientes acciones:
- Descargar y enviar archivos
- Enumerar cuentas de acceso telefónico
- Examinar direcciones IP
- Finalizar la ejecución del propio troyano
- Listar las conexiones TCP actuales
- Listar los procesos en ejecución
- Obtener información del sistema infectado
- Ocultar o mostrar ventanas de programas
- Realizar ataques de denegación de servicio (DoS)
- Realizar ataques flood con paquetes UDP
- Robar contraseñas
La información robada incluye lo siguiente:
- Cantidad de memoria instalada
- Contraseñas del sistema y de redes (usa API indocumentado)
- Datos de las cuentas de conexión telefónica
- Idioma del sistema operativo
- Lista de actuales sesiones de red
- Lista de procesos en ejecución
- Tipo y velocidad del procesador
- Versión instalada del sistema operativo
Puede realizar ataques de denegación de servicio (DoS) a determinados servidores de IRC.
Más información: http://www.vsantivirus.com/protoride-w.htm

W32/Bagle.AI. Se propaga en un ZIP conteniendo un HTML
Nombre: W32/Bagle.AI
Tipo: Gusano de Internet
Alias: Bagle.AI@mm, Bagle.AL, Beagle.AL, HTML_BAGLE.AC, I-Worm.Bagle.al, I-Worm.Bagle.AO, TROJ_BAGLE.AC, Trojan.DL.Bagle.AN, W32.Beagle.AO@mm, W32/Bagle.AJ@mm, W32/Bagle.AM.worm, W32/Bagle.aq@MM, W32/Bagle.dll.dr, W32/Bagle-AQ, Win32.Bagle.AG, Win32.Bagle.AL@mm, Win32.HLLM.Beagle.25088, Win32/Bagle.AG.Worm, Win32/Bagle.AI, Win32/Bagle.AQ@mm, Win32/WDirect.DLL.Worm, Win32/WDirect.Trojan, Win32:BeagleCraw [Drp], Worm.Beagle.Ao, WORM_BAGLE.AC
Relacionados: Win32/IE.DWord (Exploit), JS/IllWill, W32/Bagle.dll.gen
Plataforma: Windows 32-bit
Tamaño: 14,848 bytes (PeX)
Puertos: TCP/80
Se trata de un gusano de envío masivo que utiliza como adjunto un archivo .ZIP conteniendo un archivo HTML y una carpeta que contiene un .EXE.
Puede enviarse a todas las direcciones de correo obtenidas de diferentes archivos de la máquina infectada. En todos los casos el remitente que figura en el mensaje es falso.
Posee además un componente de acceso por puerta trasera (backdoor), y además finaliza la ejecución de varios antivirus y cortafuegos.
Los mensajes que utiliza para su propagación tienen las siguientes características:
De: [una dirección falsa]
Asunto: [vacío]
Texto del mensaje:
new price
Si el archivo adjunto contiene contraseña, el texto del mensaje agrega uno de los siguientes textos:
The password is [contraseña]
Password: [contraseña]
Datos adjuntos: [uno de los siguientes]
08_price.zip
new__price.zip
new_price.zip
newprice.zip
price.zip
price_08.zip
price_new.zip
price2.zip
El archivo adjunto contiene un .HTML y un .EXE, éste último dentro de una carpeta llamada "price":
price.html
\price\price.exe
Si el archivo .ZIP es abierto con Windows Explorer, en las últimas versiones de Windows se muestra el archivo HTML y la carpeta PRICE, como se muestra en la imagen.
 
Si el usuario hace doble clic en el archivo HTML, se ejecuta el EXE de la mencionada carpeta, y el usuario se infecta. Este archivo HTML es detectado por algunos antivirus como Win32/IE.DWord (Exploit) o JS/IllWill.
Cuando se ejecuta el archivo PRICE/PRICE.EXE, se activa el gusano, copiándose en la siguiente ubicación:
c:\windows\system32\windirect.exe
También libera el siguiente archivo .DLL:
c:\windows\system32\_dll.exe
El DLL es inyectado en el proceso del EXPLORER.EXE, de modo que se oculta de la lista de procesos, simulando sus acciones como parte de éste último (EXPLORER.EXE es uno de los procesos básicos de Windows).
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
El gusano agrega las siguientes entradas en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
win_upd2.exe = c:\windows\system32\windirect.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
win_upd2.exe = c:\windows\system32\windirect.exe
El gusano intenta acceder a los siguientes sitios de Internet, para descargar un falso archivo .JPG (se trata de un .EXE renombrado). Algunas de estas direcciones no son válidas, en un intento del gusano de ocultar su origen:
http:/ / polobeer .de/ 2 .jpg
http:/ / r2626r .de/ 2 .jpg
http:/ / kooltokyo .ru/ 2 .jpg
http:/ / mmag .ru/ 2 .jpg
http:/ / advm1 .gm .fh-koeln .de/ 2 .jpg
http:/ / evadia .ru/ 2 .jpg
http:/ / megion .ru/ 2 .jpg
http:/ / molinero-berlin .de/ 2 .jpg
http:/ / dozenten .f1 .fhtw-berlin .de/ 2 .jpg
http:/ / shadkhan .ru/ 2 .jpg
http:/ / sacred .ru/ 2 .jpg
http:/ / kypexin .ru/ 2 .jpg
http:/ / www .gantke-net .com/ 2 .jpg
http:/ / www .mcschnaeppchen .com/ 2 .jpg
http:/ / www .rollenspielzirkel .de/ 2 .jpg
http:/ / 134 .102 .228 .45/ 2 .jpg
http:/ / 196 .12 .49 .27/ 2 .jpg
http:/ / aus-Zeit .com/ 2 .jpg
http:/ / lottery .h11 .ru/ 2 .jpg
http:/ / herzog .cs .uni-magdeburg .de/ 2 .jpg
http:/ / yaguark .h10 .ru/ 2 .jpg
http:/ / 213 .188 .129 .72/ 2 .jpg
http:/ / thorpedo .us/ 2 .jpg
http:/ / szm .sk/ 2 .jpg
http:/ / lars-s .privat .t-online .de/ 2 .jpg
http:/ / www .no-abi2003 .de/ 2 .jpg
http:/ / www .mdmedia .org/ 2 .jpg
http:/ / abi-2004 .org/ 2 .jpg
http:/ / sovea .de/ 2 .jpg
http:/ / www .porta .de/ 2 .jpg
http:/ / matzlinger .com/ 2 .jpg
http:/ / pocono .ru/ 2 .jpg
http:/ / controltechniques .ru/ 2 .jpg
http:/ / alexey .pioneers .com .ru/ 2 .jpg
http:/ / momentum .ru/ 2 .jpg
http:/ / omegat .ru/ 2 .jpg
http:/ / www .perfectgirls .net/ 2 .jpg
http:/ / porno-mania .net/ 2 .jpg
http:/ / colleen .ai .net/ 2 .jpg
http:/ / ourcj .com/ 2 .jpg
http:/ / free .bestialityhost .com/ 2 .jpg
http:/ / slavarik .ru/ 2 .jpg
http:/ / burn2k .ipupdater .com/ 2 .jpg
http:/ / carabi .ru/ 2 .jpg
http:/ / spbbook .ru/ 2 .jpg
http:/ / binn .ru/ 2 .jpg
http:/ / sbuilder .ru/ 2 .jpg
http:/ / protek .ru/ 2 .jpg
http:/ / www .PlayGround .ru/ 2 .jpg
http:/ / celine .artics .ru/ 2 .jpg
http:/ / www .artics .ru/ 2 .jpg
http:/ / www .laserbuild .ru/ 2 .jpg
http:/ / www .lamatec .com/ 2 .jpg
http:/ / www .sensi .com/ 2 .jpg
http:/ / www .oldtownradio .com/ 2 .jpg
http:/ / www .youbuynow .com/ 2 .jpg
http:/ / 64 .62 .172 .118/ 2 .jpg
http:/ / www .tayles .com/ 2 .jpg
http:/ / dodgetheatre .com/ 2 .jpg
http:/ / www .thepositivesideofsports .com/ 2 .jpg
http:/ / www .bridesinrussia .com/ 2 .jpg
http:/ / fairy .dataforce .net/ 2 .jpg
http:/ / www .pakwerk .ru/ 2 .jpg
http:/ / home .profootball .ru/ 2 .jpg
http:/ / www .ankil .ru/ 2 .jpg
http:/ / www .ddosers .net/ 2 .jpg
http:/ / tarkosale .net/ 2 .jpg
http:/ / www .boglen .com/ 2 .jpg
http:/ / change .east .ru/ 2 .jpg
http:/ / www .teatr-estrada .ru/ 2 .jpg
http:/ / www .glass-master .ru/ 2 .jpg
http:/ / www .zeiss .ru/ 2 .jpg
http:/ / www .sposob .ru/ 2 .jpg
http:/ / www .glavriba .ru/ 2 .jpg
http:/ / alfinternational .ru/ 2 .jpg
http:/ / euroviolence .com/ 2 .jpg
http:/ / www .webronet .com/ 2 .jpg
http:/ / www .virtmemb .com/ 2 .jpg
http:/ / www .infognt .com/ 2 .jpg
http:/ / www .vivamedia .ru/ 2 .jpg
http:/ / www .zelnet .ru/ 2 .jpg
http:/ / www .dsmedia .ru/ 2 .jpg
http:/ / www .vendex .ru/ 2 .jpg
http:/ / www .elit-line .ru/ 2 .jpg
http:/ / pixel .co .il/ 2 .jpg
http:/ / www .milm .ru/ 2 .jpg
http:/ / dev .tikls .net/ 2 .jpg
http:/ / www .met .pl/ 2 .jpg
http:/ / www .strefa .pl/ 2 .jpg
http:/ / kafka .punkt .pl/ 2 .jpg
http:/ / www .rubikon .pl/ 2 .jpg
http:/ / www .neostrada .pl/ 2 .jpg
http:/ / werel1 .web-gratis .net/ 2 .jpg
http:/ / www .tuhart .net/ 2 .jpg
http:/ / www .antykoncepcja .net/ 2 .jpg
http:/ / www .dami .com .pl/ 2 .jpg
http:/ / vip .pnet .pl/ 2 .jpg
http:/ / www .webzdarma .cz/ 2 .jpg
http:/ / emnesty .w .interia .pl/ 2 .jpg
http:/ / niebo .net/ 2 .jpg
http:/ / strony .wp .pl/ 2 .jpg
http:/ / sec .polbox .pl/ 2 .jpg
http:/ / www .phg .pl/ 2 .jpg
http:/ / emnezz .e-mania .pl/ 2 .jpg
http:/ / www .republika .pl/ 2 .jpg
http:/ / www .silesianet .pl/ 2 .jpg
http:/ / www .republika .pl/ 2 .jpg
http:/ / tdi-router .opola .pl/ 2 .jpg
http:/ / republika .pl/ 2 .jpg
http:/ / infokom .pl/ 2 .jpg
http:/ / silesianet .pl/ 2 .jpg
http:/ / terramail .pl/ 2 .jpg
http:/ / silesianet .pl/ 2 .jpg
http:/ / www .iluminati .kicks-ass .net/ 2 .jpg
http:/ / www .dilver .ru/ 2 .jpg
http:/ / www .yarcity .ru/ 2 .jpg
http:/ / www .scli .ru/ 2 .jpg
http:/ / www .elemental .ru/ 2 .jpg
http:/ / diablo .homelinux .com/ 2 .jpg
http:/ / www .interrybflot .ru/ 2 .jpg
http:/ / www .webpark .pl/ 2 .jpg
http:/ / www .rafani .cz/ 2 .jpg
http:/ / gutemine .wu-wien .ac .at/ 2 .jpg
http:/ / przeglad-tygodnik .pl/ 2 .jpg
http:/ / przeglad-tygodnik .pl/ 2 .jpg
http:/ / pb195 .slupsk .sdi .tpnet .pl/ 2 .jpg
http:/ / www .ciachoo .pl/ 2 .jpg
http:/ / cavalierland .5u .com/ 2 .jpg
http:/ / www .nefkom .net/ 2 .jpg
http:/ / rausis .latnet .lv/ 2 .jpg
http:/ / www .hgr .de/ 2 .jpg
http:/ / www .airnav .com/ 2 .jpg
http:/ / www .astoria-stuttgart .de/ 2 .jpg
http:/ / ultimate-best-hgh .0my .net/ 2 .jpg
http:/ / wynnsjammer .proboards18 .com/ 2 .jpg
http:/ / www .jewishgen .org/ 2 .jpg
http:/ / www .hack-gegen-rechts .com/ 2 .jpg
http:/ / host .wallstreetcity .com/ 2 .jpg
http:/ / quotes .barchart .com/ 2 .jpg
http:/ / www .aannemers-nederland .nl/ 2 .jpg
http:/ / www .sjgreatdeals .com/ 2 .jpg
http:/ / financial .washingtonpost .com/ 2 .jpg
http:/ / www .biratnagarmun .org .np/ 2 .jpg
http:/ / hsr .zhp .org .pl/ 2 .jpg
http:/ / traveldeals .sidestep .com/ 2 .jpg
http:/ / www .hbz-nrw .de/ 2 .jpg
http:/ / www .ifa-guide .co .uk/ 2 .jpg
http:/ / www .inversorlatino .com/ 2 .jpg
http:/ / www .zhp .gdynia .pl/ 2 .jpg
http:/ / host .businessweek .com/ 2 .jpg
http:/ / packages .debian .or .jp/ 2 .jpg
http:/ / www .math .kobe-u .ac .jp/ 2 .jpg
http:/ / www .k2kapital .com/ 2 .jpg
http:/ / www .tanzen-in-sh .de/ 2 .jpg
http:/ / www .wapf .com/ 2 .jpg
http:/ / www .hgrstrailer .com/ 2 .jpg
http:/ / www .forbes .com/ 2 .jpg
http:/ / www .oshweb .com/ 2 .jpg
http:/ / www .rumbgeo .ru/ 2 .jpg
http:/ / www .dicto .ru/ 2 .jpg
http:/ / www .busheron .ru/ 2 .jpg
http:/ / www .omnicom .ru/ 2 .jpg
http:/ / www .teleline .ru/ 2 .jpg
http:/ / www .dynex .ru/ 2 .jpg
http:/ / www .gamma .vyborg .ru/ 2 .jpg
http:/ / nominal .kaliningrad .ru/ 2 .jpg
http:/ / www .baltmatours .com/ 2 .jpg
http:/ / www .interfoodtd .ru/ 2 .jpg
http:/ / www .baltnet .ru/ 2 .jpg
http:/ / www .neprifan .ru/ 2 .jpg
http:/ / photo .gornet .ru/ 2 .jpg
http:/ / www .aktor .ru/ 2 .jpg
http:/ / catalog .zelnet .ru/ 2 .jpg
http:/ / www .sdsauto .ru/ 2 .jpg
http:/ / www .gradinter .ru/ 2 .jpg
http:/ / www .avant .ru/ 2 .jpg
http:/ / www .porsa .ru/ 2 .jpg
http:/ / www .taom-clan .de/ 2 .jpg
http:/ / www .perfectjewel .com/ 2 .jpg
http:/ / www .vrack .net/ 2 .jpg
http:/ / www .netradar .com/ 2 .jpg
http:/ / www .pgipearls .com/ 2 .jpg
http:/ / www .vconsole .net/ 2 .jpg
http:/ / www .ccbootcamp .com/ 2 .jpg
http:/ / host23 .ipowerweb .com/ 2 .jpg
http:/ / www .timelessimages .com/ 2 .jpg
http:/ / www .peterstar .ru/ 2 .jpg
http:/ / www .5100 .ru/ 2 .jpg
http:/ / www .gin .ru/ 2 .jpg
http:/ / www .rweb .ru/ 2 .jpg
http:/ / www .metacenter .ru/ 2 .jpg
http:/ / www .biysk .ru/ 2 .jpg
http:/ / www .free-time .ru/ 2 .jpg
http:/ / www .rastt .ru/ 2 .jpg
http:/ / www .chelny .ru/ 2 .jpg
http:/ / www .chat4adult .com/ 2 .jpg
http:/ / www .landofcash .net/ 2 .jpg
http:/ / relay .great .ru/ 2 .jpg
http:/ / www .kefaloniaresorts .com/ 2 .jpg
http:/ / www .epski .gr/ 2 .jpg
http:/ / www .myrtoscorp .com/ 2 .jpg
http:/ / www .aphel .de/ 2 .jpg
http:/ / www .intellect .lvc/ 2 .jpg
http:/ / www .abcdesign .ru/ 2 .jpg
Copia el archivo 2.JPG como ~.EXE en la carpeta de Windows, y lo ejecuta:
c:\windows\~.exe
Esta descarga se reitera cada 10 horas, por lo que podría llegar a descargarse otro archivo, con diferentes propiedades y acciones.

Una vez que el archivo es descargado y ejecutado, el virus se copia a si mismo en la siguiente ubicación:
c:\windows\system32\windll.exe
También crea los siguientes archivos:
c:\windows\system32\windll.exeopen
c:\windows\system32\windll.exeopenopen
Y agrega las siguientes entradas en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
erthgdr = c:\windows\system32\windll.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Ru1n
Crea un mutex para no ejecutarse más de una vez al mismo tiempo, y otros para impedir la ejecución del gusano Netsky.

El gusano abre el puerto TCP/80 y un puerto UDP al azar, para notificar su presencia a un usuario remoto, quedando a la espera de comandos.

Luego se propaga por correo electrónico, en mensajes como los ya descriptos.

Las direcciones que utiliza para propagarse, son obtenidas de archivos de la máquina infectada con las siguientes extensiones:
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
Ignora direcciones de correo que contengan las siguientes cadenas:
@avp.
@derewrdgrs
@eerswqe
@foo
@iana
@messagelab
@microsoft
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip
El gusano también se copia en todas las carpetas cuyo nombre contenga la cadena "SHAR", lo que incluye a la mayoría de las carpetas compartidas de programas de intercambio de archivos entre usuarios. De ese modo puede propagarse por las redes P2P, y para ello utiliza los siguientes nombres:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0
KAV 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
Mientras se está ejecutando, intenta finalizar los siguientes procesos:
atupdater.exe
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avpupd.exe
avwupd32.exe
avxquar.exe
avxquar.exe
cfiaudit.exe
drwebupw.exe
escanh95.exe
escanhnt.exe
firewall.exe
icssuppnt.exe
icsupp95.exe
luall.exe
mcupdate.exe
nupgrade.exe
nupgrade.exe
outpost.exe
sys_xp.exe
sysxp.exe
update.exe
winxp.exe
También intenta borrar las entradas en el registro creadas por versiones de otros gusanos, como Netsky.
Herramienta de limpieza automática:
Descargue y ejecute esta herramienta en su computadora, para una limpieza automática de la misma. Siga las instrucciones en pantalla.
Future Time Srl (NOD 32)
http://www.nod32.it/cgi-bin/mapdl.pl?tool=BagleAI
NOTA: Este gusano es identificado como Bagle.AI por Nod32
Más información: http://www.vsantivirus.com/bagle-ai.htm

W32/Bagle.AH2. Se propaga por e-mail y P2PNombre: W32/Bagle.AH2
Tipo: Gusano de Internet
Alias: Bagle.AH2, Beagle.AH2, Bagle.AG@mm, I-Worm.Bagle.ac, I-Worm.Bagle.AI, I-Worm/Bagle.AG, W32.Beagle.AH@mm, W32/Bagle.AH@mm, W32/Bagle.ah@MM, W32/Bagle.AI.worm, Win32.Bagle.AD, Win32.Bagle.AH@mm, Win32/Bagle.AD.Worm, Win32/Bagle.AH@mm, Worm/Bagle.AG
Plataforma: Windows 32-bit
Tamaño: 16 Kb (agrega basura para aumentar su tamaño)
Puertos: TCP/1234
Variante del Bagle (gusano escrito en Visual C), detectado el 23 de julio de 2004.
Los adjuntos poseen extensiones .COM, .CPL, .EXE, .HTA, .SCR, .VBS, o .ZIP, en éste último caso con contraseñas generadas al azar, la cuál se muestra al usuario en una imagen también adjunta. Esto pretende eludir la detección de los antivirus.
Además de propagarse a través del correo electrónico, lo hace por redes P2P, copiándose en carpetas utilizadas por varios de esos programas para compartir archivos con otros usuarios (KaZaa, Bearshare, Limewire, etc.)
Puede enviarse a todas las direcciones de correo obtenidas de diferentes archivos de la máquina infectada. En todos los casos el remitente que figura en el mensaje es falso.
Posee además un componente de acceso por puerta trasera (backdoor), y además finaliza la ejecución de varios antivirus y cortafuegos.
Cuando se ejecuta por primera vez, muestra un mensaje de error falso:
Error!
Can't find a viewer associated with the file
[  Aceptar  ]
El gusano no se ejecuta después del 25 de enero de 2005. Si es ejecutado después de esa fecha, se auto invoca con el parámetro -DEL para desinstalarse del sistema.
Los mensajes que utiliza para su propagación tienen las siguientes características:
De: [una dirección falsa]
Asunto:
- Changes..
- Encrypted document
- Fax Message
- Forum notify
- Incoming message
- Notification
- Protected message
- Re: Document
- Re: Hello
- Re: Hi
- Re: Incoming Message
- RE: Incoming Msg
- RE: Message Notify
- Re: Msg reply
- RE: Protected message
- RE: Text message
- Re: Thank you!
- Re: Thanks :)
- Re: Yahoo!
- Site changes
- Update
Texto del mensaje: [uno de los siguientes]
- Attach tells everything.
- Attached file tells everything.
- Check attached file for details.
- Check attached file.
- Here is the file.
- Message is in attach
- More info is in attach
- Pay attention at the attach.
- Please, have a look at the attached file.
- Please, read the document.
- Read the attach.
- See attach.
- See the attached file for details.
- Your document is attached.
- Your file is attached.
Datos adjuntos: [uno de los siguientes]
Details
Document
Info
Information
Message
MoreInfo
Readme
text_document
Updates
Dicho nombre, puede tener alguna de las siguientes extensiones:
.com
.cpl
.exe
.hta
.scr
.vbs
.zip [con contraseña]
Si el adjunto es un ZIP, está encriptado con una contraseña. En esos casos, el asunto del mensaje puede ser uno de los siguientes:
- Pass - [contraseña]
- Password - [contraseña]
- Password: [contraseña]
Y el texto de los mensajes puede ser alguno de los siguientes:
- Archive password: [contraseña]
- Attached file is protected with the password for security reasons. Password is [contraseña]
- For security purposes the attached file is password protected. Password -- [contraseña]
- For security reasons attached file is password protected. The password is [contraseña]
- In order to read the attach you have to use the following password: [contraseña]
- Note: Use password [contraseña]
- Password [contraseña]
- Password: [contraseña]
Donde [contraseña] es una imagen JPEG insertada, o un texto que muestra un número de cinco dígitos.
El gusano cambia el tipo de archivo del adjunto, de acuerdo a la extensión. Por ejemplo, si el archivo tiene extensión .VBS, el adjunto es creado como un script de Visual Basic que genera al gusano, un archivo ejecutable de Win32. Por ello, existen tres formatos para el "dropper" del gusano, Visual Basic Script, HTML, y aplicación del Panel de control (.CPL).
En el caso de un adjunto .ZIP, el archivo contenido dentro del mismo, posee un nombre generado al azar de 5 a 9 caracteres con extensión .EXE. También contiene un segundo archivo conteniendo solo basura, con nombre al azar y alguna de las siguientes extensiones:
.cfg
.def
.dll
.ini
.txt
.vxd
Cuando se ejecuta, crea los siguiente archivos en la carpeta System de Windows:
c:\windows\system\fukulamer.exe
c:\windows\system\fukulamer.exeopen
c:\windows\system\fukulamer.exeopenopen
c:\windows\system\fukulamer.exeopenopenopen
c:\windows\system\fukulamer.exeopenopenopenopen
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
Crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
reg_key = c:\windows\system\fukulamer.exe
Crea también la siguiente entrada para almacenar valores de su configuración actual:
HKCU\Software\base_reg_path
Las direcciones que utiliza para propagarse, son obtenidas de archivos de la máquina infectada con las siguientes extensiones:
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
El gusano también se copia en todas las carpetas cuyo nombre contenga la cadena "SHAR", lo que incluye a la mayoría de las carpetas compartidas de programas de intercambio de archivos entre usuarios. De ese modo puede propagarse por las redes P2P, y para ello utiliza los siguientes nombres:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0
KAV 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
Posee algunas características de troyano de acceso remoto y para ello abre el puerto TCP/1234, quedando a la espera de comandos. Esta opción puede ser usada para actualizar al propio gusano. Cuando ello sucede, se descarga la nueva versión que luego se ejecuta para suplantar la anterior.
También intenta borrar las entradas en el registro creadas por versiones de otros gusanos, como Netsky.
Más información: http://www.vsantivirus.com/bagle-ah2.htm
En línea
Páginas: [1]   Ir Arriba
« anterior próximo »
 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License
creative commons.