Troj/Agent.BE. Usa equipos infectados para enviar spam Nombre: Troj/Agent.BE
Nombre Nod32: Win32/TrojanProxy.Agent.BE
Tipo: Caballo de Troya
Alias: Agent.CE, Backdoor.Win32.Agent.ce
Plataforma: Windows 32-bit
Troyano que se propaga en forma de spam, en un mensaje con el texto "click here to remove" (hacer clic aquí para quitarse).
Si el usuario lo hace, pensando que de ese modo dejará de recibir ese tipo de correo no solicitado, no solo estará enviando su propia dirección a los spammers (terminará recibiendo más correo no solicitado en el futuro), sino que el enlace lo llevará a una página web maliciosa que pide ser desplazada para visualizarse.
Esta página se aprovecha de la vulnerabilidad "arrastrar y soltar" del Internet Explorer (Drag and Drop vulnerability), para la ejecución de un troyano de acceso remoto por puerta trasera.
El troyano descargado (la versión del Agent aquí descripta), podría ser cualquier otro si el spammer modifica sus mensajes.
El Agent es un caballo de Troya que se ejecuta como un servicio y como un proceso normal.
Una vez instalado en el equipo de la víctima, intenta activarse como un servidor proxy, de tal modo que cada equipo infectado puede convertirse en un repetidor de spam (un solo mensaje enviado por el spammer puede ser reenviado a miles de otros usuarios).
Una vez descargado, el troyano se copia a si mismo en la siguiente ubicación con los atributos de sistema, oculto y solo lectura (+S +H +R):
c:\windows\system32\w32.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Cuando W32.EXE se ejecuta, se realizan las siguientes acciones:
1. Se crea un servicio llamado "Windows Service Application".
2. Se modifica el registro para asegurarse que el servicio se ejecutará en modo seguro y en modo seguro con conexión de red.
3. Se modifica el registro para que el proxy se ejecute como un programa normal en el entorno actual del sistema, y más tarde en el entorno de cualquier usuario.
Finalmente inicia su modo de operación normal como proxy. Para ello el troyano queda a la escucha por el puerto TCP/9687 y otro seleccionado al azar. Este segundo puerto es registrado con el sitio web que lo controla para algún uso futuro.
Más información:
Más sobre la grave vulnerabilidad "Drag and Drop" en IE
http://www.vsantivirus.com/vul-ie-drag-and-drop2.htmGrave vulnerabilidad "Drag and Drop" en IE
http://www.vsantivirus.com/vul-ie-drag-and-drop.htmMás información:
http://www.vsantivirus.com/troj-agent-be.htmIRC/SdBot.WF. Se copia como "mslti32.exe"Nombre: IRC/SdBot.WF
Tipo: Gusano de Internet y caballo de Troya
Alias: SdBot.WF, WORM_SDBOT.WF, IRC/BackDoor.SdBot, Backdoor.SdBot.gen, Backdoor.SDBot.Gen, Win32.IRC.Bot.based, IRC-Sdbot, Backdoor.Sdbot, BKDR_SDBOT.GEN, Backdoor:IRC/SdBot, W32/Sdbot-Fam
Plataforma: Windows 32-bit
Tamaño: 92,186 bytes
Gusano que se propaga por recursos compartidos de redes, y que puede actuar como un troyano de acceso remoto controlado vía IRC, con capacidad de tomar el control del equipo infectado.
Cuando se ejecuta se copia en la carpeta del sistema de Windows con el siguiente nombre:
c:\windows\system\mslti32.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
Crea las siguientes entradas en el registro para ejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Update Machine = "mslti32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Update Machine = "mslti32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Microsoft Update Machine = "mslti32.exe"
También agrega las siguientes entradas:
HKLM\SOFTWARE\Microsoft\OLE
EnableDCOM = "N"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous = "dword:00000001"
El gusano intenta continuamente infectar máquinas remotas, generando direcciones IP al azar para conectarse a través del puerto 445. Utiliza una extensa lista de usuarios y contraseñas predefinidas en su código.
Si la conexión es exitosa, busca los recursos ADMIN$, C$, D$, IPC$ Y PRINT$. Si los encuentra, entonces inicia su rutina de infección, intentando copiarse en dicho equipo:
c$\mslti32.exe
c$\winnt\system32\mslti32.exe
Admin$\system32\mslti32.exe
Posee un componente de acceso por puerta trasera (backdoor), que intenta conectarse a servidores de IRC y unirse a un canal predeterminado. Actúa como un IRC Bot, esperando las instrucciones en dicho canal. Un BOT es la copia de un usuario en un canal de IRC, preparado para responder y ejecutar ciertos comandos en forma automática.
Algunas acciones posibles:
Realizar ataques de denegación de servicio (UDP, ICMP y SYN flooding)
Matar procesos e hilos de ejecución
Descargar y ejecutar archivos
Auto actualizarse
El gusano es capaz de finalizar la ejecución de los siguientes procesos:
bbeagle.exe
i11r54n4.exe
irun4.exe
msblast.exe
msblast.exe
msconfig.exe
mscvb32.exe
navapw32.exe
navw32.exe
netstat.exe
pandaavengine.exe
penis32.exe
rate.exe
regedit.exe
ssate.exe
sysinfo.exe
sysmonxp.exe
teekids.exe
wincfg32.exetaskmon.exe
winsys.exe
winupd.exe
zapro.exe
zonealarm.exe
d3dupdate.exe
Más información:
http://www.vsantivirus.com/irc-sdbot-wf.htmSokeven Troyano que permite utilizar el equipo infectado como un proxy.
Nombre completo: Trojan.W32/Sokeven
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 39936
Alias:Win32/Sokeven.A (Enciclopedia Virus (Ontinent)), Win32.Sokeven.D (Computer Associates), Win32/Sokeven.D.Trojan (Otros)
Cuando Trojan.W32/Sokeven es ejecutado, realiza las siguientes acciones:
Se copia a sí mismo como C:\Windows\System\w32.exe, con atributos de sólo lectura, oculto y sistema.
Para ejecutarse en cada inicio del sistema crea un servicio llamado "Windows Service Application".
Con el mismo propósito de autoejecución al reiniciar Windows, añade los valores indicados a las siguientes claves del registro:
Clave: HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Valor: w32 = w32.exe
Clave: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Valor: w32 = w32.exe
Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Valor: w32 = w32.exe
También crea las siguientes claves en el registro para su propio uso:
Clave: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\w32
Valor: (predeterminado) = Service
Clave: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\w32
Valor: (predeterminado) = Service
Crea un mutex llamado "w32" para no ejecutarse más de una vez en memoria.
Nota: Un mutex es un objeto utilizado para controlar el acceso a recursos (cualquier tipo de programas y aplicaciones, etc.) y evitar que más de un proceso acceda al mismo tiempo al mismo recurso. Esto previene la múltiple carga del gusano en memoria.
El troyano crea tres hilos, que realizan las siguientes funciones:
El primero, escucha a través de un puerto TCP elegido al azar.
El segundo, escucha a través del puerto 9687.
El tercero se utiliza para notificar al intruso que el troyano está instalado. Cada 20 minutos envía una petición vía HTTP al sitio
www.earthlabs.biz. Esta petición, incluye el número de puerto aleatorio por el que el troyano escucha, y el número de versión del propio troyano.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4295Nemog.D Troyano que actúa como puerta trasera y permite que el sistema infectado se utilice como emisor de correo electrónico y como proxy HTTP.
Modifica el fichero 'hosts' de modo que se bloquea el acceso a varios sitios web de seguridad informática.
Nombre completo: Backdoor.W32/Nemog.D
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Backdoor.Nemog.D (Symantec)
Cuando Backdoor.W32/Nemog.D es ejecutado, realiza las siguientes acciones:
Crea los siguientes ficheros:
%System%\dx32cxlp.exe
%System%\dx32cxel.sys
%System%\dx32cxconf.ini
Nota: %System% es variable. El troyano localiza el directorio System y se replica en esa ubicación. Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
Añade los valores indicados, a la siguiente clave del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer
Valores: "mutexname" = "mSRMHED"
"vers" = "0x10050"
Para crear el servicio dx32cxel y asegurarse de que el troyano se ejecuta con cada reinicio de Windows, crea las siguientes entradas en el registro:
Claves: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dx32cxel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DX32CXEL
Oculta este servicio y sus ficheros, asociándolos a varias APIs (Application Program Interface) y devolviendo resultados nulos a las llamadas de la APIs.
Se conecta a los siguientes servidores utilizando los puertos 4661, 4242, 8080, 4646, 6565 y 3306:
62.241.53.2
211.233.41.235
81.23.250.167
193.19.227.24
66.98.192.99
207.44.222.47
213.158.119.104
207.44.206.27
62.241.53.4
216.127.94.107
67.15.18.45
62.241.53.15
64.246.54.12
62.241.53.16
211.214.161.107
67.15.18.57
66.98.144.100
69.50.187.210
66.111.43.80
212.199.125.36
66.90.68.2
62.241.53.17
69.50.228.50
81.23.250.169
69.57.132.8
64.246.18.98
218.78.211.62
207.44.142.33
64.246.16.11
205.209.176.220
80.64.179.46
65.75.161.70
Permite a atacantes remotos enviar correo a través de un puerto TCP elegido aleatoriamente, y actuar como proxy HTTP en otro puerto aleatorio.
Recibe instrucciones procedentes del atacante, que le permiten:
Desinstalarse a sí mismo.
Actualizarse.
Descargar un fichero.
Sobre escribe el fichero %System%\DRIVERS\ETC\HOSTS con las siguientes lineas para impedir el acceso a ciertos sitios web de seguridad informática:
127.0.0.1
www.avp.com 127.0.0.1
www.viruslist.com 127.0.0.1 viruslist.com
127.0.0.1
www.symantec.com 127.0.0.1 networkassociates.com
127.0.0.1 secure.nai.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 kaspersky-labs.com
127.0.0.1
www.networkassociates.com 127.0.0.1 us.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 avp.com
127.0.0.1
www.sophos.com 127.0.0.1 sophos.com
127.0.0.1
www.ca.com 127.0.0.1 ca.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1
www.kaspersky.com 127.0.0.1
www.f-secure.com 127.0.0.1 dispatch.mcafee.com
127.0.0.1 update.symantec.com
127.0.0.1 nai.com
127.0.0.1
www.nai.com 127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1
www.mcafee.com 127.0.0.1 mcafee.com
127.0.0.1 viruslist.com
127.0.0.1
www.my-etrust.com 127.0.0.1 download.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 kaspersky.com
127.0.0.1
www.trendmicro.com Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4296Malam Malam es un troyano que abre un puerto a través del cual permite acceso remoto no autorizado al ordenador afectado.
Malam ha sido distribuido mediante un mensaje de correo electrónico que incluye un enlace a una dirección web, que ha sido enviado masivamente. Dicha dirección alberga un script PHP, que instala un pequeño archivo ejecutable cuando el usuario la visita. Este archivo se encarga de descargar el componente principal al ordenador afectado.
Nombre completo: Trojan.W32/Malam
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 28672
Alias:Trj/Malam.A (Panda Software), Trojan.Win32.Genme.A (Kaspersky (viruslist.com)), Win32.DKS.C (Computer Associates)
Implementa un proxy SOCKS 5 sin contraseña, mediante el cual se pueden realizar varias acciones, como el envio de spam.
Envía el número del puerto abierto y la dirección IP del ordenador afectado al servidor 212.25.72.140.
Cambia la página de inicio del navegador Internet Explorer a
http://microsoft.oem101.biz.
Malam.A crea los siguientes archivos en el directorio de sistema de Windows:
DSS.DLL y DSSA.DLL. Estos archivos son DLLs (Librería de Enlace Dinámico).
MDS.EXE y SS.EXE. Estos dos archivos ejecutables son componentes del troyano, que se encargan de crear procesos que se buscan mutuamente. Si se finaliza uno de ellos, el otro se encarga de regenerarlo, de modo que no puedan eliminarse simultáneamente ambos procesos desde el Administrador de Tareas.
SON.EXE y SS.DAT. Malam.A crea las siguientes entradas en el Registro de Windows:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\
CurrentVersion\ Run
mds = %sysdir%\ mds.exe
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\
CurrentVersion\ Run
mds = %sysdir%\ mds.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante estas entradas, Malam.A consigue ejecutarse cada vez que Windows se inicia.
HKEY_CLASSES_ROOT\ CLSID\
{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\ InProcServer32
(predeterminado) = dssa.dll
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\
Windows\ CurrentVersion\ ShellServiceObjectDelayLoad
ss = {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
donde XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX es una secuencia aleatoria de números hexadecimales, distinta cada vez que este troyano afecta un ordenador.
Malam, como todo buen troyano, no se difunde por si solo, pero se ha difundiduo mediante un mensaje de correo electrónico enviado masivamente que incluye la URL
http://shared-hosting.biz. Dicha dirección alberga un script PHP, que instala un pequeño archivo ejecutable cuando el usuario la visita, presumiblemente aprovechando alguna vulnerabilidad de Internet Explorer.
El archivo ejecutable descarga el componente principal de Malam.A de la dirección web mencionada anteriormente.
Otros Detalles
Malam.A tiene un tamaño de 28672 Bytes.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4297
