« anterior próximo »
Páginas: [1]   Ir Abajo

Autor Tema: 6 de septiembre, virus  (Leído 2527 veces)

Desconectado Danae

  • Iniciado
  • *****
  • Mensajes: 3211
  • Casi siempre en el armario.
    • windowsfacil, primeros pasos con windows y el pc
6 de septiembre, virus
« en: 06 de Septiembre de 2004, 07:04:26 pm »
W32/Forbot.C. Se copia como "winitr32.exe"
Nombre: W32/Forbot.C
Tipo: Gusano y Caballo de Troya de acceso remoto
Alias: Forbot.C, W32/Forbot-C, Backdoor.Win32.Wootbot.c, W32/Sdbot.worm.gen.h
 Plataforma: Windows 32-bit
Tamaño: variable
Este troyano con características de gusano, puede ser configurado para permitir el acceso a un atacante a la máquina infectada, utilizando canales de IRC (Internet Relay Chat).

Cuando se ejecuta, se instala en el directorio System con el siguiente nombre:
c:\windows\system\winitr32.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).

Modifica algunas de las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
Win32 Wmls Driver = winitr32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Win32 Wmls Driver = winitr32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Win32 Wmls Driver = winitr32.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
Win32 Wmls Driver = winitr32.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Win32 Wmls Driver = winitr32.exe

HKLM\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_MICROSOFT_CONFIG
El troyano permite a un atacante remoto, el control del equipo infectado mediante BOTS vía IRC (un bot es un programa que actúa como un usuario de IRC, y está preparado para responder o actuar automáticamente ejecutando ciertos comandos).

Algunas de las acciones posibles:

- Realizar ataques de denegación de servicio (DoS) mediante envío masivo de paquetes ping, syn, udp (flooding).

- Ejecutar un servidor socks4

- Reenvío de puertos

- Acceso a la libreta de direcciones de Windows

- Eliminar recursos compartidos, incluidos IPC$ y ADMIN$

- Escaneo de puertos

- Obtención de claves (CD Keys) de populares juegos

- Descarga y ejecución de archivos vía HTTP o por conexión directa

- Obtención de información de la computadora infectada (clave de registro de Windows, velocidad del procesador, memoria, usuarios, etc.)

- Agregar o quitar servicios del sistema

- Finalizar sesión, reiniciar o apagar el sistema

- Obtener nombres de usuarios de Yahoo Pager, .NET messenger y AOL Instant Messenger

- Iniciar o detener un servidor HTTP en cualquier puerto especificado, habilitando el acceso a determinados directorios del sistema al usuario remoto.

- Iniciar o detener un servidor FTP que permite examinar archivos del sistema, y cargar o descargar archivos.

- Finalizar procesos, incluyendo aquellos de conocidos antivirus y cortafuegos, además de herramientas del propio Windows, como los siguientes:
_avp32.exe
_avpcc.exe
_avpm.exe
ackwin32.exe
advxdwin.exe
agentsvr.exe
agentw.exe
alertsvc.exe
alogserv.exe
amon9x.exe
anti-trojan.exe
antivirus.exe
ants.exe
apimonitor.exe
aplica32.exe
apvxdwin.exe
apvxdwin.exe
atcon.exe
atguard.exe
atro55en.exe
atupdater.exe
atwatch.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avconsol.exe
ave32.exe
avgcc32.exe
avgctrl.exe
avgnt.exe
avgserv.exe
avgserv9.exe
avguard.exe
avgw.exe
avkpop.exe
avkserv.exe
avkservice.exe
avkwctl9.exe
avnt.exe
avp.exe
avp32.exe
avpcc.exe
avpdos32.exe
avpm.exe
avptc32.exe
avpupd.exe
avsched32.exe
avsynmgr.avsynmgr.exe
avwin95.exe
avwinnt.exe
avwupd32.exe
avwupsrv.exe
avxmonitor9x.exe
avxmonitornt.exe
avxquar.exe
bd_professional.exe
bidef.exe
bidserver.exe
bipcp.exe
bipcpevalsetup.exe
bisp.exe
blackd.exe
blackd.exe
blackice.exe
bootwarn.exe
borg2.exe
bs120.exe
ccapp.exe
ccevtmgr.exe
ccpxysvc.exe
cdp.exe
cfgwiz.exe
cfiadmin.exe
cfiaudit.exe
cfinet.exe
cfinet32.exe
claw95.exe
claw95cf.exe
claw95cf.exe
clean.exe
cleaner.exe
cleaner3.exe
cleanpc.exe
cmgrdian.exe
cmon016.exe
connectionmonitor.exe
cpd.exe
cpf9x206.exe
cpfnt206.exe
ctrl.exe
cv.exe
cwnb181.exe
cwntdwmo.exe
defalert.exe
defscangui.exe
defwatch.exe
deputy.exe
doors.exe
dpf.exe
dpfsetup.exe
drwatson.exe
drweb32.exe
dvp95.exe
dvp95_0.exe
ecengine.exe
efpeadm.exe
ent.exe
esafe.exe
escanh95.exe
escanhnt.exe
escanv95.exe
espwatch.exe
etrustcipe.exe
evpn.exe
exantivirus-cnet.exe
exe.avxw.exe
expert.exe
f-agnt95.exe
fameh32.exe
fast.exe
fch32.exe
fih32.exe
findviru.exe
firewall.exe
flowprotector.exe
fnrb32.exe
fprot.exe
f-prot.exe
f-prot95.exe
fp-win.exe
fp-win_trial.exe
frw.exe
fsaa.exe
fsav.exe
fsav32.exe
fsav530stbyb.exe
fsav530wtbyb.exe
fsav95.exe
fsgk32.exe
fsm32.exe
fsma32.exe
fsmb32.exe
f-stopw.exe
gbmenu.exe
gbpoll.exe
generics.exe
guard.exe
guarddog.exe
hacktracersetup.exe
htlog.exe
hwpe.exe
iamapp.exe
iamserv.exe
iamstats.exe
ibmasn.exe
ibmavsp.exe
icload95.exe
icloadnt.exe
icmon.exe
icsupp95.exe
icsuppnt.exe
iface.exe
ifw2000.exe
iomon98.exe
iparmor.exe
iris.exe
isrv95.exe
jammer.exe
jedi.exe
kavlite40eng.exe
kavpers40eng.exe
kavpf.exe
kerio-pf-213-en-win.exe
kerio-wrl-421-en-win.exe
kerio-wrp-421-en-win.exe
killprocesssetup161.exe
ldnetmon.exe
ldpro.exe
ldpromenu.exe
ldscan.exe
localnet.exe
lockdown.exe
lockdown2000.exe
lookout.exe
lsetup.exe
luall.exe
luau.exe
lucomserver.exe
luinit.exe
luspt.exe
mcagent.exe
mcmnhdlr.exe
mcshield.exe
mctool.exe
mcupdate.exe
mcvsrte.exe
mcvsshld.exe
mfw2en.exe
mfweng3.02d30.exe
mgavrtcl.exe
mgavrte.exe
mghtml.exe
mgui.exe
minilog.exe
monitor.exe
moolive.exe
mpfagent.exe
mpfservice.exe
mpftray.exe
mrflux.exe
msconfig.exe
msinfo32.exe
mssmmc32.exe
mu0311ad.exe
mwatch.exe
n32scanw.exe
nav auto-protect.nav80try.exe
navap.navapsvc.exe
navapsvc.exe
navapw32.exe
navdx.exe
navengnavex15.navlu32.exe
navlu32.exe
navnt.exe
navstub.exe
navw32.exe
navwnt.exe
nc2000.exe
ncinst4.exe
ndd32.exe
neomonitor.exe
neowatchlog.exe
netarmor.exe
netinfo.exe
netmon.exe
netscanpro.exe
netspyhunter-1.2.exe
netstat.exe
netutils.exe
nisserv.exe
nisum.exe
nmain.exe
nod32.exe
normist.exe
norton_internet_secu_3.0_407.exe
notstart.exe
npf40_tw_98_nt_me_2k.exe
npfmessenger.exe nprotect.exe
npscheck.exe
npssvc.exe
nsched32.exe
ntrtscan.exe
ntvdm.exe
ntxconfig.exe
nui.exe
nupgrade.exe
nvarch16.exe
nvc95.exe
nvsvc32.exe
nwinst4.exe
nwservice.exe
nwtool16.exe
ostronet.exe
outpost.exe
outpostinstall.exe
outpostproinstall.exe
padmin.exe
panixk.exe
pavcl.exe
pavproxy.exe
pavsched.exe
pavw.exe
pcc2002s902.exe
pcc2k_76_1436.exe
pcciomon.exe
pccntmon.exe
pccwin97.exe
pccwin98.exe
pcdsetup.exe
pcfwallicon.exe
pcip10117_0.exe
pcscan.exe
pdsetup.exe
periscope.exe
persfw.exe
perswf.exe
pf2.exe
pfwadmin.exe
pingscan.exe
platin.exe
pop3trap.exe
poproxy.exe
popscan.exe
portdetective.exe
portmonitor.exe
ppinupdt.exe
pptbc.exe
ppvstop.exe
processmonitor.exe
procexplorerv1.0.exe
programauditor.exe
proport.exe
protectx.exe
pspf.exe
purge.exe
pview95.exe
qconsole.exe
qserver.exe
rapapp.exe
rav7.exe
rav7win.exe
rav8win32eng.exe
realmon.exe
regedit.exe
regedt32.exe
rescue.exe
rescue32.exe
rrguard.exe
rshell.exe
rtvscan.exe
rtvscn95.exe
rulaunch.exe
safeweb.exe
sbserv.exe
sbserv.exe
scan32.exe
scan95.exe
scanpm.exe
scrscan.exe
sd.exe
serv95.exe
setup_flowprotector_us.exe
setupvameeval.exe
sfc.exe
sgssfw32.exe
sh.exe
shellspyinstall.exe
shn.exe
smc.exe
sofi.exe
spf.exe
sphinx.exe
sphinx.exe
spyxx.exe
ss3edit.exe
st2.exe
supftrl.exe
supporter5.exe
sweep95.exe
sweepnet
sweepsrv.sys
swnetsup.exe
symproxysvc.exe
symtray.exe
sysedit.exe
taskmon.exe
taumon.exe
tbscan.exe
tc.exe
tca.exe
tcm.exe
tds2-98.exe
tds2-nt.exe
tds-3.exe
tfak.exe
tfak5.exe
tgbob.exe
titanin.exe
titaninxp.exe
tracert.exe
trjscan.exe
trjsetup.exe
trojantrap3.exe
undoboot.exe
update.exe
vbcmserv.exe
vbcmserv.exe
vbcons.exe
vbust.exe
vbwin9x.exe
vbwinntw.exe
vcsetup.exe
vet32.exe
vet95.exe
vet95.exe
vettray.exe
vfsetup.exe
vir-help.exe
virusmdpersonalfirewall.exe
vnlan300.exe
vnpc3000.exe
vpc32.exe
vpc42.exe
vpfw30s.exe
vptray.exe
vscan40.exe
vscenu6.02d30.exe
vsched.exe
vsecomr.exe
vshwin32.exe
vsisetup.exe
vsmain.exe
vsmon.exe
vsstat.exe
vswin9xe.exe
vswinntse.exe
vswinperse.exe
w32dsm89.exe
w9x.exe
watchdog.exe
webscanx.exe
webtrap.exe
wfindv32.exe
wgfe95.exe
whoswatchingme.exe
wimmun32.exe
winrecon.exe
wnt.exe
wradmin.exe
wrctrl.exe
wsbgate.exe
wyvernworksfirewall.exe
xpf202en.exe
zapro.exe
zapsetup3001.exe
zatutor.exe
zauinst.exe
zonalm2601.exe
zonealarm.exe
Más información. http://www.vsantivirus.com/forbot-c.htm

W32/Lovgate.AQ. Se propaga por redes, e-mail, KaZaa
Nombre: W32/Lovgate.AQ
Nombre Nod32: Win32/Lovgate.AQ
Tipo:  Gusano de Internet
Alias:  Lovgate.AQ, I-Worm.Lovegate.AJ, I-Worm.LovGate.ah, I-Worm.LovGate.ai, I-Worm.Lovgate.BD, I-Worm/Lovgate, W32.Lovgate.AO@mm, W32.Lovgate.X@mm, W32/Lovgate.aj@MM, W32/Lovgate.AL@mm, W32/Lovgate.AP@mm, W32/Lovgate.ap@MM, W32/Lovgate.AQ.worm, W32/Lovgate.BA@mm, W32/Lovgate-AJ, Win32.HLLM.Lovgate.17, Win32.Lovgate.AI@mm, Win32.Lovgate.AS, Win32.Lovgate.BC, Win32/Lovgate.AJ@mm, Win32/Lovgate.AQ, Win32/Lovgate.AS.172776.Worm, Win32/Mydoom.Variant.Worm, Win32:Lovgate-AL [Wrm], Worm.Lovgate.Ai, Worm/Lovgate.AJ, WORM_LOVGATE.AJ
Plataforma:  Windows 32-bit
Tamaño:  166,400 bytes
Puerto: TCP al azar
Gusano que se propaga masivamente por correo electrónico, y recursos compartidos en redes.
La máquina infectada puede ser accedida por un atacante a través de una puerta trasera instalada por el gusano.
Es capaz de infectar archivos .EXE.

Los mensajes infectados pueden tener adjuntos con extensiones .EXE, .PIF, .SCR, .COM, .RAR o .ZIP. El mensaje también puede ser la respuesta a un mensaje enviado anteriormente a un usuario que ahora ha sido infectado (no abra adjuntos de usuarios conocidos sin haber confirmado con el remitente su envío, podría ser una respuesta automática del gusano a uno de sus mensajes, en un mensaje infectado).

Utiliza su propio motor SMTP para enviarse a todos los contactos de la libreta de direcciones de Windows y del Outlook, y a todas las direcciones que extrae de archivos de las máquinas infectadas.
Detalles de los mensajes:

De: [remitente falso, creado con los datos de la siguiente lista, más el dominio "aol.com", "hotmail.com", "msn.com", "yahoo.com" o seleccionado de la lista de direcciones a las que se envía]
adam
alex
alice
andrew
anna
bill
bob
brenda
brent
brian
claudia
dan
dave
david
debby
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
jose
julie
kevin
leo
linda
maria
mary
matt
michael
mike
peter
ray
robert
sam
sandra
serg
smith
stan
steve
ted
tom
Asunto: [uno de los siguientes]
- [caracteres al azar]
- [vacío]
- Error
- hello
- hi
- Mail Delivery System
- Mail Transaction Failed
- Server Report
- Status
- test
Texto del mensaje: [uno de los siguientes]
- It's the long-awaited film version of the Broadway hit.
The message sent as a binary attachment.

- Mail failed. For further assistance, please contact!

- pass

- The message contains Unicode characters and has been sent
as a binary attachment.
Datos adjuntos: [nombre]+[extensión]

Donde [nombre] es uno de los siguientes:
body
data
doc
document
file
message
readme
test
text
Y [extensión] una de las siguientes:
.bat
.cmd
.exe
.pif
.scr
También puede incluir adjuntos con extensión .ZIP y cualquier nombre. El contenido del ZIP tiene el mismo nombre, y dos extensiones (.DOC, .HTM o .TXT más espacios, más .BAT, .CMD, .EXE, .PIF o .SCR).

Además, se envía como respuesta a mensajes no leídos encontrados en la bandeja de entrada del Outlook, Outlook Express y otros clientes de correo compatibles.

En este caso, estos son los detalles del mensaje:

Asunto: Re: [asunto del mensaje que se responde]

Para: [destinatario] @ [dominio]

Texto del mensaje:
[destinatario] wrote:
====
> [texto del mensaje que se responde]
====

[dominio] account auto-reply:
If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.

> Get your FREE [dominio] now! <
Donde [dominio] es el mismo dominio del destinatario.

Datos adjuntos: [uno de los siguientes]
Britney spears nude.exe.txt.exe
Deutsch BloodPatch!.exe
dreamweaver MX (crack).exe
DSL Modem Uncapper.rar.exe
How to Crack all gamez.exe
I am For u.doc.exe
Industry Giant II.exe
joke.pif
Macromedia Flash.scr
Me_nude.AVI.pif
s3msong.MP3.pif
SETUP.EXE
Sex in Office.rm.scr
Shakira.zip.exe
StarWars2 - CloneAttack.rm.scr
the hardcore game-.pif
Cuando se envía uno de estos mensajes, el Outlook Express puede mostrar un mensaje advirtiendo que un programa está intentando enviar un correo electrónico en su nombre.

Cuando se ejecuta, el gusano crea los siguientes archivos en la máquina infectada:
\autorun.inf
\update.exe
c:\windows\office.exe
c:\windows\video.exe
c:\windows\system\hxdef.exe
c:\windows\system\iexplore.exe
c:\windows\system\iexplorer.exe
c:\windows\system\kernel66.exe
c:\windows\system\msjdbc11.dll
c:\windows\system\mssign30.dll
c:\windows\system\odbc16.dll
c:\windows\system\real.exe
c:\windows\system\sysadd.log
c:\windows\system\syspwd.log
c:\windows\system\tkbellexe.exe
c:\windows\system\update_ob.exe
c:\windows\system\winpatch.dll
El archivo KERNEL66.DLL es copiado con los atributos de solo lectura, oculto y del sistema (+R +H +S).

NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.).

Modifica las siguientes claves del registro, para que cada intento de abrir un archivo .TXT ejecute al gusano:
HKCR\txtfile\shell\open\command
(Predeterminado) = update_ob.exe %1

HKLM\Software\Classes\txtfile\shell\open\command
(Predeterminado) = update_ob.exe %1
También genera las siguientes entradas en el registro, para autoejecutarse en cada reinicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Inc. = iexplorer.exe
VFW Encoder/Decoder Settings = rundll32.exe mssign30.dll ondll_reg
WinHelp = c:\windows\system\tkbellexe.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Installed shell32.dll = office.exe
Soft Profile Inc = c:\windows\system\hxdef.exe
SystemTra = c:\windows\video.exe
En equipos con Windows NT, 2000 y XP, crea también las siguientes entradas:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\
run = real.exe
Crea un recurso compartido en red con el siguiente nombre:
JAVA
El mismo está mapeado a la siguiente ubicación:
c:\windows\JAVA
Se copia en todas las carpetas y subcarpetas, de todos los recursos compartidos, con los siguientes nombres:
autoexec.bat
Daemon Tools v3.41.exe
eMule-0.42e-VeryCD0407Install.exe
EnterNet 500 V1.5 RC1.exe
Flash2X Flash Hunter v1.1.2.pif
FoxMail V5.0.500.0.exe
i386.exe
Microsoft Office.exe
Minilyrics_Std_2.7.233.pif
Serv-U FTP Server 4.1.exe
Support Tools.exe
Winamp skin_FinalFantasy.exe
Windows 2000 sp4.ZIP.exe
Windows Media Player.zip.exe
WinGate V5.0.10 Build.exe
WINISO 5.3.exe
Localiza la carpeta compartida de la utilidad KaZaa y se copia en ella con los siguientes nombres (y extensiones .BAT, .EXE, .PIF, o .SCR:
[nombre al azar]
BlackIcePCPSetup_creak
HEROSOFT
Passware5.3
REALONE
W32Dasm
orcard_original_creak
rainbowcrack-1.1-win
setup
word_pass_creak
wrar320sc
Crea dos archivos llamados "UPDATE.EXE" y "AUTORUN.INF" respectivamente, y los copia en el directorio raíz de todas las unidades de disco excepto CDROM y removibles.

El archivo AUTORUN.INF contiene las instrucciones para ejecutar UPDATE.EXE.

Crea un archivo con alguno de los siguientes nombres en el raíz de todos las unidades de discos, excepto A y B:
bak.rar
bak.zip
important.rar
important.zip
letter.rar
letter.zip
pass.rar
pass.zip
setup.rar
setup.zip
work.rar
work.zip
Cada archivo comprimido contiene a su vez, alguno de los siguientes archivos:
book.com
book.exe
book.pif
book.scr
email.com
email.exe
email.pif
email.scr
important.com
important.exe
important.pif
important.scr
password.com
password.exe
password.pif
password.scr
setup.com
setup.exe
setup.pif
setup.scr
work.com
work.exe
work.pif
work.scr
Infecta archivos .EXE agregándoles una copia del archivo original del gusano.

Escucha por un puerto TCP al azar. El proceso de acceso remoto por puerta trasera (backdoor), roba información del sistema comprometido. Esta información es almacenada por el troyano en archivos que luego envía al atacante remoto, así como lo capturado a la salida del teclado.

También examina todas las máquinas de la red local (si existiera), e intenta logearse en ellas como administrador, utilizando alguna de las siguientes contraseñas:
!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
000000
00000000
007
110
111
111111
11111111
121212
123
123123
1234
12345
123456
1234567
12345678
123456789
123abc
123asd
2003
2004
2600
321
54321
654321
666666
888888
88888888
aaa
abc
abc123
abcd
abcdef
abcdefg
Admin
admin
admin123
administrator
alpha
asdf
asdfgh
computer
database
enable
god
godblessyou
guest
home
Internet
Login
login
love
mypass
mypass123
mypc
mypc123
oracle
owner
pass
passwd
Password
password
pw123
pwd
root
secret
server
sex
sql
super
sybase
temp
temp123
test
test123
win
yxcv
zxcv
zzz
El gusano también intenta logearse como administrador si la cuenta no tiene contraseña.

Si obtiene éxito, se copia a si mismo como TELEPHONE.EXE en la siguiente ubicación:
\\[computadora]\admin$\system32\TelePhone.exe
También inicia un servicio llamado "Windows Management NetWork Service Extensions" que es mapeado como "TelePhone.exe -exe_start".

Intenta finalizar los procesos activos cuyos nombres contengan las siguientes cadenas:
Dubu
Gate
KAV
kill
KV
McAfee
NAV
RavMon.exe
Rfw.exe
rising
Rising Realtime Monitor Service
SkyNet
Symantec
Symantec AntiVirus Client
Symantec AntiVirus Server
Más información: http://www.vsantivirus.com/lovgate-aq.htm

W32/Gaobot.MP. Se copia como "runsvc32.exe"
Nombre: W32/Gaobot.MP
Tipo: Gusano de Internet y caballo de Troya
Alias: Gaobot.MP, Agobot.MP, W32/Agobot-MP, WORM_AGOBOT.GEN, Backdoor.Agobot.gen, W32/Gaobot.worm.gen, W32.HLLW.Gaobot.gen
Plataforma: Windows 32-bit
Puertos: TCP/135, TCP/445, TCP/80
Tamaño: variable

Es un gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de conocidas vulnerabilidades.

Un intruso pueda acceder en forma remota a la computadora infectada, a través del IRC.

Se ejecuta solo en Windows NT, 2000 y XP, e intenta robar contraseñas y claves de conocidos juegos de computadora.

Se copia en el sistema infectado con el siguiente nombre:
c:\windows\system32\runsvc32.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

Agrega las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RunServices = "runsvc32.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
RunServices = "runsvc32.exe"
Modifica el archivo HOSTS para que los siguientes sitios no puedan ser accedidos desde una máquina infectada:
avp .com
ca .com
customer .symantec .com
dispatch .mcafee .com
download .mcafee .com
f-secure .com
kaspersky .com
liveupdate .symantec .com
liveupdate .symantecliveupdate .com
mast .mcafee .com
mcafee .com
my-etrust .com
nai .com
networkassociates .com
rads .mcafee .com
secure .nai .com
securityresponse .symantec .com
sophos .com
symantec .com
trendmicro .com
update .symantec .com
updates .symantec .com
us .mcafee .com
viruslist .com
viruslist .com
www .avp .com
www .ca .com
www .f-secure .com
www .kaspersky .com
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .trendmicro .com
www .viruslist .com
El gusano roba del PC infectado, los posibles identificadores y llaves (CD keys) de conocidos video juegos.

Posee además un componente de acceso remoto por puerta trasera vía IRC, que permite a un atacante realizar numerosas acciones en el equipo infectado, incluidos ataques de denegación de servicio (DoS), a blancos específicos. Algunas acciones posibles:
- Ejecutar comandos en forma remota
- Eliminar procesos seleccionados
- Examinar el tráfico HTTP, FTP, e IRC (sniffer)
- Finalizar servicios de Windows
- Listar los procesos activos
- Obtener archivos a través de FTP y HTTP
- Obtener direcciones de correo de la computadora infectada
- Obtener información del registro
- Obtener un determinado URL
- Realizar ataques del tipo "floods" (HTTP, ICMP, SYN, y UDP)
- Reiniciar la computadora
- Robar contraseñas
Cuando se ejecuta, puede detener los siguientes procesos, algunos de ellos pertenecientes a conocidos antivirus y cortafuegos, y también a otros gusanos o troyanos:
_avp32
_avpcc
_avpm
ackwin32
adaware
advxdwin
agentsvr
agentw
alertsvc
alevir
alogserv
amon9x
anti-trojan
antivirus
ants
apimonitor
aplica32
apvxdwin
arr
atcon
atguard
atro55en
atupdater
atwatch
au
aupdate
autodown
auto-protect.nav80try
autotrace
autoupdate
avconsol
ave32
avgcc32
avgctrl
avgnt
avgserv
avgserv9
avguard
avgw
avkpop
avkserv
avkservice
avkwctl9
avltmain
avnt
avp
avp32
avpcc
avpdos32
avpm
avptc32
avpupd
avsched32
avsynmgr
avwin95
avwinnt
avwupd
avwupd32
avwupsrv
avxmonitor9x
avxmonitornt
avxquar
backweb
bargains
bd_professional
beagle
belt
bidef
bidserver
bipcp
bipcpevalsetup
bisp
blackd
blackice
blss
bootconf
bootwarn
borg2
bpc
brasil
bs120
bundle
bvt
ccapp
ccevtmgr
ccpxysvc
cdp
cfd
cfgwiz
cfiadmin
cfiaudit
cfinet
cfinet32
claw95
claw95cf
clean
cleaner
cleaner3
cleanpc
click
cmd32
cmesys
cmgrdian
cmon016
connectionmonitor
cpd
cpf9x206
cpfnt206
ctrl
cv
cwnb181
cwntdwmo
datemanager
dcomx
defalert
defscangui
defwatch
deputy
divx
dllcache
dllreg
doors
dpf
dpfsetup
dpps2
drwatson
drweb32
drwebupw
dssagent
dvp95
dvp95_0
ecengine
efpeadm
emsw
ent
esafe
escanh95
escanhnt
escanv95
espwatch
ethereal
etrustcipe
evpn
exantivirus-cnet
exe.avxw
expert
explore
f-agnt95
fameh32
fast
fch32
fih32
findviru
firewall
flowprotector
fnrb32
fprot
f-prot
f-prot95
fp-win
fp-win_trial
frw
fsaa
fsav
fsav32
fsav530stbyb
fsav530wtbyb
fsav95
fsgk32
fsm32
fsma32
fsmb32
f-stopw
gator
gbmenu
gbpoll
generics
gmt
guard
guarddog
hacktracersetup
hbinst
hbsrv
hotactio
hotpatch
htlog
htpatch
hwpe
hxdl
hxiul
iamapp
iamserv
iamstats
ibmasn
ibmavsp
icload95
icloadnt
icmon
icsupp95
icsuppnt
idle
iedll
iedriver
iexplorer
iface
ifw2000
inetlnfo
infus
infwin
init
intdel
intren
iomon98
iparmor
iris
isass
isrv95
istsvc
jammer
jdbgmrg
jedi
kavlite40eng
kavpers40eng
kavpf
kazza
keenvalue
kerio-pf-213-en-win
kerio-wrl-421-en-win
kerio-wrp-421-en-win
kernel32
killprocesssetup161
launcher
ldnetmon
ldpro
ldpromenu
ldscan
lnetinfo
loader
localnet
lockdown
lockdown2000
lookout
lordpe
lsetup
luall
luau
lucomserver
luinit
luspt
mapisvc32
mcagent
mcmnhdlr
mcshield
mctool
mcupdate
mcvsrte
mcvsshld
md
mfin32
mfw2en
mfweng3.02d30
mgavrtcl
mgavrte
mghtml
mgui
minilog
mmod
monitor
moolive
mostat
mpfagent
mpfservice
mpftray
mrflux
msapp
msbb
msblast
mscache
msccn32
mscman
msconfig
msdm
msdos
msiexec16
msinfo32
mslaugh
msmgt
msmsgri32
mssmmc32
mssys
msvxd
mu0311ad
mwatch
n32scanw
nav
navap.navapsvc
navapsvc
navapw32
navdx
navengnavex15.navlu32
navlu32
navnt
navstub
navw32
navwnt
ncinst4
ndd32
neomonitor
neowatchlog
netarmor
netd32
netinfo
netmon
netscanpro
netspyhunter-1.2
netstat
netutils
nisserv
nisum
nmain
nod32
normist
norton_internet_secu_3.0_407
notstart
npf40_tw_98_nt_me_2k
nprotect
npscheck
npssvc
nsched32
nssys32
nstask32
nsupdate
nt
ntrtscan
ntvdm
ntxconfig
nui
nupgrade
nvarch16
nvc95
nvsvc32
nwinst4
nwservice
nwtool16
ollydbg
onsrvr
optimize
ostronet
otfix
outpost
outpostinstall
outpostproinstall
padmin
panixk
patch
pavcl
pavproxy
pavsched
pavw
pcciomon
pccntmon
pccwin97
pccwin98
pcdsetup
pcfwallicon
pcscan
pdsetup
penis
periscope
persfw
perswf
pf2
pfmessenger
pfwadmin
pgmonitr
pingscan
platin
pop3trap
poproxy
popscan
portdetective
portmonitor
powerscan
ppinupdt
pptbc
ppvstop
prizesurfer
prmt
prmvr
procdump
processmonitor
procexplorerv1.0
programauditor
proport
protectx
pspf
purge
pussy
pview95
qconsole
qserver
rapapp
rav7
rav7win
rav8win32eng
ray
rb32
rcsync
realmon
reged
regedit
regedt32
rescue
rescue32
rrguard
rshell
rtvscan
rtvscn95
rulaunch
run32dll
rundll
rundll16
ruxdll32
safeweb
sahagent
save
savenow
sbserv
sc
scam32
scan32
scan95
scanpm
scrscan
scrsvr
scvhost
sd
serv95
service
servlce
servlces
setup_flowprotector_us
setupvameeval
sfc
sgssfw32
sh
shellspyinstall
shn
showbehind
smc
sms
smss32
soap
sofi
sperm
spf
sphinx
spoler
spoolcv
spoolsv32
spyxx
srexe
srng
ss3edit
ssgrate
st2
start
stcloader
supftrl
support
supporter5
svc
svchostc
svchosts
svshost
sweep95
sweepnet.sweepsrv.sys.swnetsup
symproxysvc
symtray
sysedit
system
system32
sysupd
taskmg
taskmo
taskmon
taumon
tbscan
tc
tca
tcm
tds2-98
tds2-nt
tds-3
teekids
tfak
tfak5
tgbob
titanin
titaninxp
tracert
trickler
trjscan
trjsetup
trojantrap3
tsadbot
tvmd
tvtmd
undoboot
updat
update
upgrad
utpost
vbcmserv
vbcons
vbust
vbwin9x
vbwinntw
vcsetup
vet32
vet95
vettray
vfsetup
vir-help
virusmdpersonalfirewall
vnlan300
vnpc3000
vpc32
vpc42
vpfw30s
vptray
vscan40
vscenu6.02d30
vsched
vsecomr
vshwin32
vsisetup
vsmain
vsmon
vsstat
vswin9xe
vswinntse
vswinperse
w32dsm89
w9x
watchdog
webdav
webscanx
webtrap
wfindv32
wgfe95
whoswatchingme
wimmun32
win32
win32us
winactive
win-bugsfix
window
windows
wininetd
wininit
wininitx
winlogin
winmain
winnet
winppr32
winrecon
winservn
winssk32
winstart
winstart001
wintsk32
winupdate
wkufind
wnad
wnt
wradmin
wrctrl
wsbgate
wupdater
wupdt
wyvernworksfirewall
xpf202en
zapro
zapsetup3001
zatutor
zonalm2601
zonealarm
Más información: http://www.vsantivirus.com/gaobot-mp.htm
En línea
Páginas: [1]   Ir Arriba
« anterior próximo »
 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License
creative commons.