« anterior próximo »
Páginas: [1]   Ir Abajo

Autor Tema: 23 de agosto, virus  (Leído 4365 veces)

Desconectado Danae

  • Administrator
  • *
  • Mensajes: 3211
  • Casi siempre en el armario.
    • windowsfacil, primeros pasos con windows y el pc
23 de agosto, virus
« en: 23 de Agosto de 2004, 06:19:31 pm »
W32/Bugbear.H. Infecta archivos .EXE y .DLLNombre:  W32/Bugbear.H
Tipo:  Gusano de Internet
Alias:  Bugbear.H, Win32/Bugbear.H, PE_BUGBEAR.K, W32.Bugbear.K@mm, I-Worm.Tanatos
Plataforma:  Windows 32-bit
Tamaño:  43,520 bytes (UPX)
Gusano que se propaga vía correo electrónico, utilizando su propio motor SMTP (Simple Mail Transfer Protocol). Utiliza direcciones de remitente falsificadas (obtenidas de la misma forma que las direcciones de los destinatarios).
Cuando se ejecuta, el gusano crea varios archivos con nombres al azar en el directorio System de Windows, un .EXE (el propio gusano), y algunos .DLL (el componente capaz de interceptar y capturar todo lo tecleado por el usuario infectado), usando las siguientes extensiones:
.dat
.dll
.exe
.tmp
También crea numerosos archivos con nombres al azar y las siguientes extensiones en la carpeta de Windows:
.dat
.nls
.bak
NOTA: La ubicación de la carpeta System puede variar de acuerdo al sistema operativo instalado. "c:\windows\system" (por defecto) en Windows 9x/ME, "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003.
Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = [nombre al azar].exe
El [nombre al azar] consiste en 6 letras mayúsculas, por ejemplo:
AHGSFT = AHGSFT.EXE
Una vez activo, el gusano utiliza su propio motor SMTP para enviar copias de si mismo a través del correo electrónico, en mensajes construidos de la siguiente forma:
Asunto: [uno de los siguientes]
- !!! WARNING !!!
- [Fwd: look] ;-)
- Announcement
- bad news
- e-Bullion: Account Login
- e-dinar access account
- empty account
- Evocash, Your Currency on the Internet
- fantastic
- Friendly
- good news!
- Greetings!
- Hello!
- history screen
- hmm..
- I cannot forget you!
- I love you!
- I need photo!!!
- Interesting...
- Introduction
- Is that your password?
- Just a reminder
- Lost & Found
- Me nude
- moneybookers.com - and money moves
- New Contests
- new reading
- Old photos
- Payment notices
- photo
- photos
- Please Help...
- Report
- Sex pictures
- Stats
- StormPay.com - The Universal On-line Reseller System
- Today Only
- update
- various
- Warning!
- Welcome to CashCards.net
- You are fat!
- Your Gift
Textos del mensaje: [uno de los siguientes]
- Pease open an attachment to see the message
- Please see Attachment
- please,read the attach file.
- see attachment
- See the attached file
- See the attached file for more info
Datos adjuntos: [uno de los siguientes]
a000032.jpg.scr
girls.jpg.scr
image.jpg.scr
love.jpg.scr
message.txt.scr
music.mp3.scr
myphoto.jpg.scr
news.doc.scr
photo.jpg.scr
pic.jpg.scr
readme.txt.scr
song.wav.scr
video.avi.scr
you.jpg.scr
Las direcciones a las que se envía, son obtenidas de archivos que contengan la cadena "inbox" en sus nombres o posean las siguientes extensiones:
.asp
.dbx
.eml
.htm
.mbx
.mmf
.nch
.ods
.sht
.tbb
.txt
También se envía como adjunto, respondiendo a mensajes ingresados en la bandeja de entrada del usuario infectado.
Evita mensajes o direcciones que contengan las siguientes expresiones:
abuse
begin pgp
Bugbear
Content-Type
localdomain
lyris
mailer-daemon
majordom
microsoft
microsoft
ndeliverable
nobody@
nobody@
noreply
postmaster notify
postmaster@
postmaster@
Received
recipients
remove
Reply-To
reports
returned mail
Return-Path
Subject
subscribe
-text/html
text/plain
trojan
undisclosed
unsolicited
virus
warning: could not
El remitente es falsificado con una dirección tomada al azar, o mediante los elementos [1] + [2], donde:

[1] Nombre de usuario (antes de la arroba), tomado al azar de la siguiente lista:
accounts
adrian
agency
agree
albert
alexander
alfred
alice
alicia
alison
alive
allen
andre
andrea
andreas
andres
andrew
angela
angelo
anger
anita
another
answer
anthony
anton
antonio
archives
balance
beach
beatrice
beauty
becky
bernard
bernhard
bonny
boris
brain
brandon
brave
brenda
brent
brian
bridge
brother
bruce
bruno
calvin
cards
carina
carlos
carol
caroline
catherine
center
check
chris
christine
christoph
christopher
cindy
claude
claudia
colin
collins
company
contact
customerservice
daniel
daniela
david
debby
denis
denise
dennis
diana
diane
doctor
dominic
dominik
donna
douglas
dsmith
earth
ecommerce
eduardo
e-gold
elizabeth
ellen
emmanuel
erica
erich
erick
erika
ernst
felix
fernand
finance
francisco
franco
frank
franz
frederic
funds
gabriele
garry
georg
george
gerald
gerard
gerhard
gerry
glenn
gordon
gregor
gregory
harald
harbor
harrison
heinz
helen
helene
helga
helmut
helpdesk
henrik
henry
herbert
herman
hermann
hernan
howard
ingrid
irene
irina
isaac
james
janet
janice
janna
janne
jason
jennifer
jerome
jerry
jimmy
johan
johann
johannes
jonathan
jorge
jorgen
josef
joseph
jsmith
judge
juerg
juergen
juhani
julia
julie
julien
julio
justin
karen
karin
kathleen
kathryn
kathy
katri
katrin
kelly
kendra
kenneth
kerry
kevin
kimberly
kontakt
krista
kristin
kristine
larry
laura
laurence
lawrence
leonardo
leopold
linda
lucia
manuel
marco
marcus
margareta
margaretha
marge
margit
maria
marianna
mariano
marie
marina
mario
marion
market
marketing
markus
martin
mathias
matthew
matti
maureen
maurizio
mauro
melania
melanie
member
metal
michael
michaela
michel
miguel
molly
monica
nadine
nancy
netbank
nicola
nicolas
nicole
norbert
oliver
pamela
paolo
patrice
patricia
patrick
paulo
pedro
peter
questions
rachel
ralph
randy
ricardo
robbie
robert
roberto
roger
roland
ronald
rsmith
rubber
rudolf
russell
sabina
sabine
sandra
scott
serge
service
sharon
silver
silvia
simon
smith
sophie
stefan
stefano
stephane
stephen
steve
steven
support
susan
sylvia
terri
terry
thomas
tobias
tomas
vanessa
vincent
vladimir
voice
wagner
walter
wendy
werner
william
wolfgang
[2] Nombre del dominio tomado al azar de la siguiente lista:
@aol.com
@bellsouth.net
@bigpond.com
@bluewin.ch
@btinternet.com
@btopenworld.com
@earthlink.net
@excite.com
@freesurf.ch
@hotmail.com
@microsoft.com
@msn.com
@ntlworld.com
@usa.com
@worldnet.att.net
@yahoo.com
Intenta infectar los siguientes archivos, ubicados en las carpetas de Windows o de Archivos de programa:
\hh.exe
\mplayer.exe
\notepad.exe
\regedit.exe
\scandskw.exe
\winhelp.exe
\ACDSee32\ACDSee32.exe
\Adobe\Acrobat 4.0\Reader\AcroRd32.exe
\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
\adobe\acrobat 7.0\reader\acrord32.exe
\AIM95\aim.exe
\CuteFTP\cutftp32.exe
\DAP\DAP.exe
\Far\Far.exe
\ICQ\Icq.exe
\Internet Explorer\iexplore.exe
\kazaa\kazaa.exe
\Lavasoft\Ad-aware 6\Ad-aware.exe
\MSN Messenger\msnmsgr.exe
\Outlook Express\msimn.exe
\QuickTime\QuickTimePlayer.exe
\Real\RealPlayer\realplay.exe
\StreamCast\Morpheus\Morpheus.exe
\Trillian\Trillian.exe
\Winamp\winamp.exe
\Windows Media Player\mplayer2.exe
\WinRAR\WinRAR.exe
\winzip\winzip32.exe
\WS_FTP\WS_FTP95.exe
\Zone Labs\ZoneAlarm\ZoneAlarm.exe
También infecta otros archivos .EXE y .DLL que busca en diferentes carpetas del disco duro.
Más información: http://www.vsantivirus.com/bugbear-h.htm

W32/Gaobot.MF. Se copia como "syxtem32.exe"
Nombre: W32/Gaobot.MF
Tipo: Gusano de Internet y caballo de Troya
Alias: Gaobot.MF, Agobot.MF, W32/Agobot-MF, WORM_AGOBOT.GEN, Backdoor.Agobot.gen, W32/Gaobot.worm.gen, W32.HLLW.Gaobot.gen
Plataforma: Windows 32-bit
Puertos: TCP/135, TCP/445, TCP/80
Gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de conocidas vulnerabilidades.
Un intruso pueda acceder en forma remota a la computadora infectada, a través del IRC.
Se ejecuta solo en Windows NT, 2000 y XP, e intenta robar contraseñas y claves de conocidos juegos de computadora.
Se copia en el sistema infectado con el siguiente nombre:
c:\windows\system32\syxtem32.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Agrega las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WSAConfiguration = "syxtem32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
WSAConfiguration = "syxtem32.exe"

HKLM\System\CurrentControlSet\Services\WSAConfiguration
Modifica el archivo HOSTS para que los siguientes sitios no puedan ser accedidos desde una máquina infectada:
avp .com
ca .com
customer .symantec .com
dispatch .mcafee .com
download .mcafee .com
f-secure .com
kaspersky .com
liveupdate .symantec .com
liveupdate .symantecliveupdate .com
mast .mcafee .com
mcafee .com
my-etrust .com
nai .com
networkassociates .com
rads .mcafee .com
secure .nai .com
securityresponse .symantec .com
sophos .com
symantec .com
trendmicro .com
update .symantec .com
updates .symantec .com
us .mcafee .com
viruslist .com
viruslist .com
www .avp .com
www .ca .com
www .f-secure .com
www .kaspersky .com
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .trendmicro .com
www .viruslist .com
El gusano roba del PC infectado, los posibles identificadores y llaves (CD keys) de conocidos video juegos.
Posee además un componente de acceso remoto por puerta trasera vía IRC, que permite a un atacante realizar numerosas acciones en el equipo infectado, incluidos ataques de denegación de servicio (DoS), a blancos específicos. Algunas acciones posibles:
- Ejecutar comandos en forma remota
- Eliminar procesos seleccionados
- Examinar el tráfico HTTP, FTP, e IRC (sniffer)
- Finalizar servicios de Windows
- Listar los procesos activos
- Obtener archivos a través de FTP y HTTP
- Obtener direcciones de correo de la computadora infectada
- Obtener información del registro
- Obtener un determinado URL
- Realizar ataques del tipo "floods" (HTTP, ICMP, SYN, y UDP)
- Reiniciar la computadora
- Robar contraseñas

Reparación: IMPORTANTE:
Descargue y ejecute cada parche antes de proceder al resto de la limpieza, desde los siguientes enlaces:
MS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htm

Métodos para detener el reinicio de Windows
La descarga del parche correspondiente, puede verse dificultada por el constante reinicio del equipo infectado (un efecto secundario del exploit que se vale de la vulnerabilidad RPC/DCOM). Para evitarlo, siga cualquiera de estos métodos:
1. Simplemente atrase el reloj del sistema una o dos horas (ajústelo nuevamente a la hora correcta luego de la instalación del parche).
2. Desde Inicio, Ejecutar, escriba CMD y pulse Enter. Luego ingrese el siguiente comando (más Enter):
shutdown   -a

Deshabilitar las carpetas compartidas
Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.

Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT, y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
WSAConfiguration
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
WSAConfiguration
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\System
\CurrentControlSet
\Services
\WSAConfiguration
7. Pinche en la carpeta "WSAConfiguration" y bórrela.
8. UBorrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\system32\syxtem32.exe
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Restaurar archivo HOSTS
1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
5. Reinicie su computadora.

Información adicional IMPORTANTE
Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores.
También instale los parches mencionados más adelante.
Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el gusano.
se "Registro", "Salir" para salir del editor y confirmar los cambios.
Más información: http://www.vsantivirus.com/gaobot-mf.htm
En línea
Páginas: [1]   Ir Arriba
« anterior próximo »
 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License
creative commons.