W32/Gaobot.VT. Se copia como "windrv132.exe"Nombre: W32/Gaobot.VT
Tipo: Gusano de Internet y caballo de Troya
Alias: Gaobot.VT, Agobot.VT, WORM_AGOBOT.VT, WORM_AGOBOT.GEN, Backdoor.Agobot.gen, W32/Gaobot.worm.gen, W32.HLLW.Gaobot.gen
Plataforma: Windows 32-bit
Puertos: TCP/135, TCP/445, TCP/80
Tamaño: 174,080 bytes
Es un gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de conocidas vulnerabilidades:
MS03-001 Vulnerabilidad en el Servicio Localizador
http://www.vsantivirus.com/vulms03-001-002-003.htm#1Falla crítica en servidores Microsoft IIS 5.0 (MS03-007)
http://www.vsantivirus.com/vulms03-007.htmMS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htmUn intruso pueda acceder en forma remota a la computadora infectada, a través del IRC.
Se ejecuta solo en Windows NT, 2000 y XP, e intenta robar contraseñas y claves de conocidos juegos de computadora.
Se copia en el sistema infectado con el siguiente nombre:
c:\windows\system32\windrv132.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Agrega las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Windows Update Client Service = "windrv132.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Windows Update Client Service = "windrv132.exe"
Modifica el archivo HOSTS para que los siguientes sitios no puedan ser accedidos desde una máquina infectada:
avp .com
ca .com
customer .symantec .com
dispatch .mcafee .com
download .mcafee .com
f-secure .com
kaspersky .com
liveupdate .symantec .com
liveupdate .symantecliveupdate .com
mast .mcafee .com
mcafee .com
my-etrust .com
nai .com
networkassociates .com
rads .mcafee .com
secure .nai .com
securityresponse .symantec .com
sophos .com
symantec .com
trendmicro .com
update .symantec .com
updates .symantec .com
us .mcafee .com
viruslist .com
www .avp .com
www .ca .com
www .f-secure .com
www .kaspersky .com
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .trendmicro .com
www .viruslist .com
El gusano roba del PC infectado, los posibles identificadores y llaves (CD keys) de conocidos video juegos.
Posee además un componente de acceso remoto por puerta trasera vía IRC, que permite a un atacante realizar numerosas acciones en el equipo infectado, incluidos ataques de denegación de servicio (DoS), a blancos específicos. Algunas acciones posibles:
- Ejecutar comandos en forma remota
- Eliminar procesos seleccionados
- Examinar el tráfico HTTP, FTP, e IRC (sniffer)
- Finalizar servicios de Windows
- Listar los procesos activos
- Obtener archivos a través de FTP y HTTP
- Obtener direcciones de correo de la computadora infectada
- Obtener información del registro
- Obtener un determinado URL
- Realizar ataques del tipo "floods" (HTTP, ICMP, SYN, y UDP)
- Reiniciar la computadora
- Robar contraseñas
Cuando se ejecuta, puede detener los siguientes procesos, algunos de ellos pertenecientes a conocidos antivirus y cortafuegos, y también a otros gusanos o troyanos: (ver lista en el link)
También es capaz de borrar las entradas en el registro para los siguientes ejecutables, creados por otros gusanos y troyanos:
bbeagle.exe
i11r54n4.exe
irun4.exe
rate.exe
ssate.exe
Ssate.exe
winsys.exe
d3dupdate.exe
Más información:
http://www.vsantivirus.com/gaobot-vt.htmW32/Mydoom.U. Abre el bloc de notas y muestra basuraNombre: W32/Mydoom.U
Nombre Nod32: Win32/Mydoom.U
Tipo: Gusano de Internet y caballo de Troya
Alias: Mydoom.U, W32/Mydoom.t.dll, WORM_MYDOOM.T, W32/Mydoom.t@MM, Win32/Mydoom.U, I-Worm.Mydoom.r, I-Worm.Mydoom.ren, MyDoom.T, W32.Mydoom.R@mm
Plataforma: Windows 32-bit
Puerto: TCP/5422
Tamaño: 37,888 bytes (EXE), 8,192 bytes (DLL) (UPX)
Variante del Mydoom detectado el 3 de setiembre de 2004.
Se propaga por correo electrónico y redes P2P (KaZaa).
Cuando se ejecuta, abre el bloc de notas y muestra caracteres sin sentido.
El ejecutable muestra el icono de los archivos de WordPad.
Los remitentes de los mensajes son falsos, generados con los siguientes componentes [Usuario]+[Dominio]:
Donde [Usuario] puede ser uno de los siguientes:
adam
alex
alice
andrew
anna
bill
bob
brenda
brent
brian
claudia
dan
dave
david
debby
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
jose
julie
kevin
leo
linda
maria
mary
matt
michael
mike
peter
ray
robert
sam
sandra
serg
smith
stan
steve
ted
tom
[Dominio] es el dominio del destinatario.
El asunto del mensaje puede ser alguno de los siguientes:
- [caracteres al azar]
- [vacío]
- Document
- document
- Error
- HELLO
- hello
- Hi
- hi
- Information
- Mail Delivery System
- MAIL TRANSACTION FAILED
- Mail Transaction Failed
- Mali Delivery System
- message
- my ....
- RE:my .....
- RE:Test
- RE:test
- readme
- Server Report
- Status
- Test
- TEST
- test
El texto del mensaje puede ser alguno de los siguientes:
- [caracteres al azar]
- [vacío]
- !!!!!!!!!!!, check the attachment!!!.
- (Norton Anti Virus : No Virusses Found , Check The
Attachment For More Information.
- (Norton ANti Virus,Panda,Mcafee No Virusses Found).
- Check the attachment for more information!.
- check the attachment to get the lastest news.
- check.
- come back my friend.
- error , sorry we can"t send the email so check the
attachment.
- error to send the mail!!!!!.
- error, check the attachment for more information.
- failed to send the email!, check the attachment for
more information.
- failed,check the attachment for more information.
- hello
- hello check the attachment thx.
- hello.
- here is what you need,thx.
- loooooool
))
- Mail transaction failed. Partial message is
available.
- sorry we can"t send the mail try later , check the
attachment for more information.
- the attachment for more information.
- Try Later, Check the Attachment.
- you can check the attachment for more information.
- your attachment , thx.
El archivo adjunto, puede tener alguno de los siguientes nombres:
body.???
data.???
doc.???
document.???
file.???
message.???
readme.???
test.???
text.???
Donde "???" es alguna de las siguientes extensiones:
.bat
.com
.exe
.scr
.zip
Si el adjunto es un ZIP, el contenido puede tener uno de los nombres anteriores con dos extensiones. La primera puede ser una de las siguientes:
.doc
.htm
.tmp
.txt
La segunda (después de numerosos espacios), puede ser una de las siguientes:
.bat
.com
.exe
.scr
Cuando se ejecuta, crea los siguientes archivos en el sistema infectado:
\TEMP\Message
c:\windows\system32\tasker.exe
c:\windows\system32\nemog.dll
Para autoejecutarse en cada reinicio, modifica la siguiente entrada en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Task = c:\windows\system32\tasker.exe
El gusano abre una puerta trasera ejecutando el archivo .DLL como un proceso hijo (child process) de EXPLORER.EXE, en el primer reinicio de la computadora infectada. Para ello crea esta entrada en el registro:
HKEY_CLASSES_ROOT\CLSID
\{E6FB5E20-DE35-11CF- 9C87-00AA005127ED}\InProcServer32
(Predeterminado) = c:\windows\system32\nemog.dll
En ocasiones podría crear también esta entrada:
HKEY_CLASSES_ROOT\CLSID
\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InProcServer32
(Predeterminado) = c:\windows\system\shimgapi.dll
Un Child Process es un proceso originado por un proceso padre con el que comparte recursos.
El gusano evita enviar mensajes a cualquier dirección que en su nombre contenga algunas de las siguientes cadenas:
-._!@
abuse
accoun
acketst
admin
anyone
arin.
be_loyal:
berkeley
borlan
bugs
ca
certific
contact
example
feste
gold-certs
google
help
ibm.com
icrosof
icrosoft
info
inpris
isc.o
isi.e
kernel
linux
listserv
me
mit.e
mozilla
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
submit
support
tanford.e
the.bat
usenet
utgers.ed
webmaster
you
your
Las direcciones para el envío de los mensajes infectados, son tomadas de archivos seleccionados de diferentes carpetas de las unidades de discos de la C a la Z. Los archivos examinados, poseen las siguientes extensiones:
.adb
.asp
.dbx
.htm
.php
.pl
.sht
.tbb
.wab
También genera direcciones al azar, usando nombres de dominio obtenidos de direcciones válidas.
El gusano abre el puerto TCP/5422 utilizando su componente DLL, para actuar como un servidor proxy, además de descargar y ejecutar otros archivos.
El gusano utiliza su propio motor SMTP (Simple Mail Tansfer Protocol) para el envío de los mensajes.
Para determinar el servidor SMTP a usar, agrega un prefijo de varios posibles, al dominio obtenido de la dirección de correo:
gate.[dominio]
mail.[dominio]
mail1.[dominio]
msx.[dominio]
mx.[dominio]
mx1.[dominio]
ns.[dominio]
relay.[dominio]
smtp.[dominio]
Si falla, se conecta a un servidor SMTP local incorporado al gusano.
También busca la carpeta compartida de la utilidad P2P KaZaa, y si la encuentra, se copia en ella con los siguientes nombres:
cleaner.???
crack.???
Fixtool.???
Hotmail hacker.???
mydoom.???
netsky.???
ps2 emulator.???
SoBig.???
Upload.???
Vahos.???
Viraus.???
Wenrar.???
Winzip.???
xbox emulator.???
XXX Pictures.???
XXX Videos.???
yahoo hacker.???
Donde "???" es una de las siguientes extensiones:
.bat
.com
.exe
.scr
El código del gusano contiene el siguiente texto, no mostrado al usuario:
MSG To SkyNet-Netsky: i know skynet is sucks so fuck off and i will complete my projects ok baby!,the second author for mydoom worms!!, he will complete the project, more is coming soon better than better,Kuwait.
El gusano también realiza ataques distribuidos de denegación de servicio (DDoS) al sitio de Microsoft.
Más información:
http://www.vsantivirus.com/mydoom-u.htmBack/Akak.A. Deshabilita el cortafuegos de WindowsNombre: Back/Akak.A
Tipo: Gusano de Internet Caballo de Troya de acceso remoto
Alias: Akak.A, Win32/Akak.A, Backdoor.Akak, Backdoor.Win32.BoomRaster.a
Plataforma: Windows 32-bit
Tamaño: 8,704 bytes
Puertos: TCP 4321, 5555
Caballo de Troya que actúa como servidor de acceso por puerta trasera (backdoor) en la máquina infectada, permitiendo que un atacante remoto pueda tomar el control de la misma.
Puede instalarse al visitar un sitio de Internet con contenido malicioso.
Al ejecutarse crea los siguientes archivos en la carpeta de inicio del usuario infectado:
[inicio]\testexe.exe
[inicio]\rb.exe
Donde [inicio] puede ser alguna de las siguientes carpetas:
* Windows XP, 2000 (español e inglés)
c:\documents and settings
\[nombre usuario]\menú inicio\programas\inicio
c:\documents and settings
\[nombre usuario]\start menu\programs\startup
* Windows 95, 98, Me (español e inglés)
c:\windows\menú inicio\programas\inicio
c:\windows\start menu\programs\startup
c:\windows\profiles\[nombre usuario]
\menú inicio\programas\inicio
c:\windows\profiles\[nombre usuario]
\start menu\programs\startup
Cuando el equipo es reiniciado el virus realiza las siguientes acciones:
- Ejecuta el archivo descargado.
- Crea el mutex "J&^srl!hsl^AHSgh".
- Se registra como un servicio.
También crea una copia de si mismo dentro la siguiente carpeta:
c:\windows\system\rb.exe
Para ejecutarse en cada próximo reinicio del sistema crea la siguiente entrada en el registro de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RamBooster2 = c:\windows\system\rb.exe
El troyano utiliza el comando "net stop SharedAccess" para desactivar el cortafuegos de Windows 2000/XP.
Se conecta a un servidor en la dirección IP 202.104.242.156, a través del puerto TCP/4321 para descargar información, la que es almacenada en alguno de los siguientes archivos:
c:\windows\system\lhosts.txt
c:\windows\system\kaka2.txt
También crea un SOCKS proxy en el puerto TCP/5555.
También queda a la escucha por el puerto TCP/4321 en espera de comandos remotos. Un atacante externo puede realizar a través de él alguna de las siguientes acciones:
- Obtener información del sistema
- Descargar y ejecutar archivos
- Desinstalar el acceso por puerta trasera
- Actualizar la dirección del servidor principal
Más información:
http://www.vsantivirus.com/back-akak-a.htmW32/Forbot.J. Se copia como "svchosting.exe"Nombre: W32/Forbot.J
Tipo: Gusano y Caballo de Troya de acceso remoto
Alias: Forbot.J, Win32/Forbot.J, W32/Gaobot.worm.gen.e
Plataforma: Windows 32-bit
Tamaño: 122,700 bytes
Este troyano con características de gusano, puede ser configurado para permitir el acceso a un atacante a la máquina infectada, utilizando canales de IRC (Internet Relay Chat).
Cuando se ejecuta, se instala en el directorio System con el siguiente nombre:
c:\windows\system\svchosting.exe
Modifica algunas de las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
Win32 USB2 Driver = svchosting.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Win32 USB2 Driver = svchosting.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Win32 USB2 Driver = svchosting.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
Win32 USB2 Driver = svchosting.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Win32 USB2 Driver = svchosting.exe
HKLM\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_MICROSOFT_CONFIG
El troyano permite a un atacante remoto, el control del equipo infectado mediante BOTS vía IRC (un bot es un programa que actúa como un usuario de IRC, y está preparado para responder o actuar automáticamente ejecutando ciertos comandos).
Algunas de las acciones posibles:
- Realizar ataques de denegación de servicio (DoS) mediante envío masivo de paquetes ping, syn, udp (flooding).
- Ejecutar un servidor socks4
- Reenvío de puertos
- Acceso a la libreta de direcciones de Windows
- Eliminar recursos compartidos, incluidos IPC$ y ADMIN$
- Escaneo de puertos
- Obtención de claves (CD Keys) de populares juegos
- Descarga y ejecución de archivos vía HTTP o por conexión directa
- Obtención de información de la computadora infectada (clave de registro de Windows, velocidad del procesador, memoria, usuarios, etc.)
- Agregar o quitar servicios del sistema
- Finalizar sesión, reiniciar o apagar el sistema
- Obtener nombres de usuarios de Yahoo Pager, .NET messenger y AOL Instant Messenger
- Iniciar o detener un servidor HTTP en cualquier puerto especificado, habilitando el acceso a determinados directorios del sistema al usuario remoto.
- Iniciar o detener un servidor FTP que permite examinar archivos del sistema, y cargar o descargar archivos.
- Finalizar procesos, incluyendo aquellos de conocidos antivirus y cortafuegos, además de herramientas del propio Windows, como los siguientes: (ver lista en el link)
El troyano abre los siguientes puertos: TCP/6030 y TCP/6667
Más información:
http://www.vsantivirus.com/forbot-j.htm
