W32/Gaobot.3.AMA. Se copia como "videons3.exe"Nombre: W32/Gaobot.3.AMA
Nombre Nod32: Win32/Agobot.3.AMA
Tipo: Gusano de Internet y caballo de Troya
Alias: Gaobot.3.AMA, Agobot.3.AMA, Win32/Agobot.3.AMA, Worm/Agobot.29.V, Backdoor.Agobot.ut, Backdoor.Agobot.3.JE, Win32.HLLW.Agobot, W32/Gaobot.worm.gen.l, Backdoor.Agobot.KZ, W32.Gaobot.AFJ, Win32/HLLW.Gaobot, W32/Agobot-KZ, Worm.Agobot.VX
Plataforma: Windows 32-bit
Puertos: TCP/135, TCP/445, TCP/80
Tamaño: variable
Gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de conocidas vulnerabilidades.
Un intruso pueda acceder en forma remota a la computadora infectada, a través del IRC.
Se ejecuta solo en Windows NT, 2000 y XP, e intenta robar contraseñas y claves de conocidos juegos de computadora.
Se copia en el sistema infectado con el siguiente nombre:
c:\windows\system32\videons3.exe
Agrega las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Windows Video Drivers = "videons3.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Windows Video Drivers = "videons3.exe"
Modifica el archivo HOSTS para que los siguientes sitios no puedan ser accedidos desde una máquina infectada:
avp .com
ca .com
customer .symantec .com
dispatch .mcafee .com
download .mcafee .com
f-secure .com
kaspersky .com
liveupdate .symantec .com
liveupdate .symantecliveupdate .com
mast .mcafee .com
mcafee .com
my-etrust .com
nai .com
networkassociates .com
rads .mcafee .com
secure .nai .com
securityresponse .symantec .com
sophos .com
symantec .com
trendmicro .com
update .symantec .com
updates .symantec .com
us .mcafee .com
viruslist .com
www .avp .com
www .ca .com
www .f-secure .com
www .kaspersky .com
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .viruslist .com
El gusano roba del PC infectado, los posibles identificadores y llaves (CD keys) de conocidos video juegos.
Posee además un componente de acceso remoto por puerta trasera vía IRC, que permite a un atacante realizar numerosas acciones en el equipo infectado, incluidos ataques de denegación de servicio (DoS), a blancos específicos. Algunas acciones posibles:
- Ejecutar comandos en forma remota
- Eliminar procesos seleccionados
- Examinar el tráfico HTTP, FTP, e IRC (sniffer)
- Finalizar servicios de Windows
- Listar los procesos activos
- Obtener archivos a través de FTP y HTTP
- Obtener direcciones de correo de la computadora infectada
- Obtener información del registro
- Obtener un determinado URL
- Realizar ataques del tipo "floods" (HTTP, ICMP, SYN, y UDP)
- Reiniciar la computadora
- Robar contraseñas
Más información:
http://www.vsantivirus.com/gaobot-3-ama.htmW32/Gaobot.NRL. Se copia como "rundll.exe"Nombre: W32/Gaobot.NRL
Nombre Nod32: Win32/Agobot.NRL
Tipo: Gusano de Internet y caballo de Troya
Alias: Gaobot.NRL, Agobot.NRL, Win32/Agobot.NRL, Worm/Agobot.29.W, Backdoor.Agobot.gen, Backdoor.Agobot.3.Gen, Win32.HLLW.Agobot, W32/Gaobot.worm.gen.q, Backdoor.Agobot.LK, W32.HLLW.Gaobot.gen, W32/Gaobot.gen.worm, Win32/HLLW.Gaobot, W32/Agobot-LK, Backdoor.Agobot.VY
Plataforma: Windows 32-bit
Puertos: TCP/135, TCP/445, TCP/80
Tamaño: variable
Es un gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de conocidas vulnerabilidades.
Un intruso pueda acceder en forma remota a la computadora infectada, a través del IRC.
Se ejecuta solo en Windows NT, 2000 y XP, e intenta robar contraseñas y claves de conocidos juegos de computadora.
Se copia en el sistema infectado con el siguiente nombre:
c:\windows\system32\rundll.exe
Agrega las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Windows32 = "rundll.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Windows32 = "rundll.exe"
Modifica el archivo HOSTS para que los siguientes sitios no puedan ser accedidos desde una máquina infectada:
avp .com
ca .com
customer .symantec .com
dispatch .mcafee .com
download .mcafee .com
f-secure .com
kaspersky .com
liveupdate .symantec .com
liveupdate .symantecliveupdate .com
mast .mcafee .com
mcafee .com
my-etrust .com
nai .com
networkassociates .com
rads .mcafee .com
secure .nai .com
securityresponse .symantec .com
sophos .com
symantec .com
trendmicro .com
update .symantec .com
updates .symantec .com
us .mcafee .com
viruslist .com
www .avp .com
www .ca .com
www .f-secure .com
www .kaspersky .com
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .viruslist .com
El gusano roba del PC infectado, los posibles identificadores y llaves (CD keys) de conocidos video juegos.
Posee además un componente de acceso remoto por puerta trasera vía IRC, que permite a un atacante realizar numerosas acciones en el equipo infectado, incluidos ataques de denegación de servicio (DoS), a blancos específicos. Algunas acciones posibles:
- Ejecutar comandos en forma remota
- Eliminar procesos seleccionados
- Examinar el tráfico HTTP, FTP, e IRC (sniffer)
- Finalizar servicios de Windows
- Listar los procesos activos
- Obtener archivos a través de FTP y HTTP
- Obtener direcciones de correo de la computadora infectada
- Obtener información del registro
- Obtener un determinado URL
- Realizar ataques del tipo "floods" (HTTP, ICMP, SYN, y UDP)
- Reiniciar la computadora
- Robar contraseñas
Más información:
http://www.vsantivirus.com/gaobot-nrl.htm Tarno.J Troyano que intenta capturar información reservada de acceso a determinadas entidades de crédito para después enviarla a una dirección de correo controlada por autor del del troyano mediante su propio motor de envío SMTP.
Nombre completo: PWSteal.W32/Tarno.J
Tipo: [PWSteal] - Trayano que roba contraseñas u otros datos confidenciales del sistema infectado
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
w32
Tamaño (bytes): 4608
Alias:PWSteal.Tarno.J (Symantec)
Cuando se ejecuta, realiza las siguientes acciones:
Se copia a sí mismo como %Windir%\-Nombre de fichero-.
Nota: El nombre del fichero suele ser el mismo con el que se ejecuta, aunque puede variar en cada infección.
Añade el siguiente valor al registro indicado:
"kern64dll" = %Windows%\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Crea el fichero, %Windir%\HookerDll.dll, con el que dará comienzo el proceso de instalación.
HookerDll.dll es el componente de captura de pulsaciones de teclado(Keylogger) que creará el fichero %Windir%\Klogn.txt donde quedará almacenada la informacion capturada.
Ejecuta el fichero %Windir%\-nombre de fichero-.
Genera una hebra de ejecución que irá almacenando la información capturada en el fichero %Windir%\klogn.txt para todas aquellas ventanas abiertas en las que el título de la misma contenga alguna de las siguientes cadenas de texto:
e-Bullion
e-gold
PayPal
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4324Rapet Troyano de puerta trasera que permite que un atacante externo tenga control del equipo infectado.
Nombre completo: Backdoor.W32/Rapet
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Win32/Rapet.A (Enciclopedia Virus), BackDoor.Delirium (Enciclopedia Virus)
Cuando el troyano se ejecuta se copia dentro de la carpeta de instalación de Windows con el nombre "explorer.exe". La carpeta de Windows es configurable durante la instalación, por defecto es C:\Windows en Windows XP.
Para ejecutarse durante el inicio de sesión del usuario crea las siguientes entradas en el registro de Windows:
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
explorer = \explorer .exe
HKCU\Software\Microsoft\Windows
\CurrentVersion\Run
explorer = \explorer .exe
EL troyano contiene dos componentes uno funciona como servidor y el otro como cliente.
Abre los puertos 6712 y 6713 y espera que el programa cliente se conecte, cuando una conexión es establecida entre el servidor y el cliente un atacante externo puede realizar las siguientes acciones en el equipo infectado:
Capturar la salida del teclado.
Apagar el equipo.
Reiniciar el equipo.
Cerrar la sesión.
Congelar el equipo
Abrir o cerrar la unidad de CD-ROM.
Ocultar o mostrar el botón "Inicio".
Ocultar o mostrar la barra de tareas.
Ocultar o mostrar el reloj.
Ocultar o mostrar iconos.
Ocultar o mostrar el puntero del ratón.
Terminar aplicaciones.
Congelar el teclado y el ratón.
Invertir los botones del mouse.
Abrir una dirección URL.
Ejecutar programas.
Borrar carpetas o archivos.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4325Winflux.B Winflux.B es un troyano de puerta trasera para sistemas Windows que permite el acceso y control no autorizado al equipo infectado.
Nombre completo: Backdoor.W32/Winflux.B
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Troj/Winflux-B (Sophos)
Al ejecutarse por primera vez, Winflux.B se copia en la carpeta del sistema de Windows y crea las siguientes entradas en el registro para activarse en el inicio del sistema (el troyano volverá a crearlas si se borran):
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
[nombre] = [troyano]
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
*[nombre] = [troyano]
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
[nombre] = [troyano]
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\*
[nombre] = [troyano]
Para ocultarse, Winflux.B se ejecuta dentro de procesos como Explorer, MSN Messenger o cualquier otro indicado por el atacante.
Troj/Winflux-B también podría modificar las siguientes entradas:
HKLM\SOFTWARE\Microsoft\Active Setup\
Installed Components\(CLASS ID)\
StubPath = [nombre] = [troyano]
donde CLASS ID es una secuencia aleatoria.
Winflux.B permite al atacante:
realizar capturas de pantalla
obtener capturas de Webcam
registrar pulsaciones del teclado
obtener contraseñas
descargar y ejecutar archivos
controlar Windows en el equipo infectado
mostrar mensajes
listar y terminar procesos y tareas
cerrar el sistema, cerrar la sesión o reiniciar el sistema
actualizar el servidor
desconectar y volver a conectar a Internet
instalar un proxy SOCKS4
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4323Sachiel.I Gusano que se propaga por correo electrónico en un mensaje en español, redes compartidas e IRC.
Realiza un ataque de denegación de servicio al sitio del FBI (Federal Bureau of Investigations). También modifica la página de inicio del Internet Explorer.
Nombre completo: Worm.W32/Sachiel.I@MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Alias:Win32/Sachiel.I (Enciclopedia Virus)
Cuando el gusano se ejecuta crea los siguientes archivos:
C:\Windows\System\helpdks.dll
C:\Windows\System\winrun.sys.pif
C:\Windows\Gedzac.dll
C:\Windows\Help\Sachiel.Sys.bat
Para ejecutarse en cada inicio del sistema crea las siguientes entradas en el registro de Windows:
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
Thsys = winrun.sys.pif
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
Mmsystem = Sachiel.Sys.bat
Utiliza funciones MAPI (Messaging Application Programming Interface) para obtener todas las direcciones de correo y enviar una copia de si mismo en mensajes con las siguientes características:
Mensaje 1:
Asunto: Re: Atentado Contra la Intimidad desde USA
Texto del mensaje:
AGENCIA EFE: El programa usado por el FBI, de EEUU el carnivore, encargado de filtrar el contenido de todos los emails, que pasan por servidores de EEUU (la mayorfa), segun algunos expertos atenta contra la intimidad de los usuarios de internet, al leer lo escrito en los emails.
Las opiniones y las formas de proteger nuestro correo en el informe adjunto.
Asociaci
www .gratisweb. com /machinedramon/ gaghiel .html
Datos adjuntos: ProtectionMail.txt.pif
Mensaje 2:
Asunto: Re: Conoces las Leyendas Urbanas?
Texto del mensaje:
Conoces lo que son las leyendas urbanas?, son relatos que muchos calificarian como extra pero pasan de boca en boca y de generaci
Decidalo usted, y visite nuestra web
www. gratisweb. com /machinedramon /gaghiel .html
Datos adjuntos: LeyendasUrbanas.txt.pif
Mensaje 3:
Asunto: Pruebas Nucleares
Texto del mensaje:
AGENCIA EFE: A pesar de las muchas crfticas, los EEUU han declarado que llevaran a cabo los ensayos nucleares en los oceanos Pacffico y Atalntico. Muchos expertos opinan que esto da y repercutirfa en la salud de los habitantes de pafses cercanos o con costas en dichos oceanos.
Las implicaciones del caso y prevenciones a tomar en la noticia adjunta.
Visite nuestra web y apoye la campa
www. gratisweb. com/machinedramon /gaghiel .html
Datos adjuntos: PruebasNucleares.txt.pif
Mensaje 4:
Asunto: Re: Crees estar Seguro en Internet?
Texto del mensaje:
Es posible seguirle la pista a un usuario en internet?
SI, es posible mediante su direccion IP, he incluso averiguar el mail de alguien, esto es lo que hacen la empresas de Spam(correo no desado), y el creciente
numero de estafadores y delincuentes en linea.
Sepa como hacerlo y protegerse en el manual adjunto y visitenos en nuestra web donde encontrara otros articulos
www. gratisweb. com /machinedramon / gaghiel .html
Datos adjuntos: SeguridadEnInternet.txt.pif
Mensaje 5:
Asunto: Mensajes Subliminales????
Texto del mensaje:
Son Mensajes emitidos de forma oculta, con el fin de influir en la mente del receptor, sin que este se percate de ello.
Ante la reciente utilizaci inexcrupulosos, con el fin de influir en el navegante
para que adquiera:
determinado producto o servicio, se ha lanzado en USA una legislaci prohibiendo este tipo de anuncios en Tv, Radio o Internet, ya que atentan contra la libertad
de los consumidores.
Un analisis completo y como reconocer este tipo de mensajes en el texto Adjunto, visitenos en www. gratisweb. com /machinedramon /gaghiel. html
Datos adjuntos: MensajesSubliminales.txt.pif
El gusano se propaga por redes compartidas, busca en todas las unidades de disco archivos ".jpg" y ."jpeg", luego por cada archivo encontrado crea uno nuevo con la extensión ".scr".
Modifica el archivo "mirc.ini" para enviar alguno de los siguientes archivos a un canal IRC:
Amistad.txt.pif
ConoceLoParanormal.txt.pif
Conoceme.jpg.scr
Denial of Service
JuegosOnLine.txt.pif
MiraLaFoto.jpg.scr
Realiza un ataque de denegación de servicio al siguiente sitio:
http://www.fbi.gov El gusano borra los siguientes archivos:
Msconfig.exe
Regedb32.exe
Regedit.exe
Sfc.exe
Modifica la página de inicio del Internet Explorer por alguna de las siguientes:
http://www. gedzaclabs. host. sk
http://www. geocities. com/ zonavirus
http://www. gratisweb. com/ machinedramon /gaghiel .html
http://www. gratisweb. com/ machinedramon / ramiel.zip
Muestra en pantalla una ventana con un mensaje falso conteniendo el siguiente texto:
[Error]
El archivo esta parcial o totalmente dañado imposible abrir el archivo.
Nombres de Ficheros Adjuntos (virus que llegan por correo)
MensajesSubliminales.txt.pif
SeguridadEnInternet.txt.pif
PruebasNucleares.txt.pif
LeyendasUrbanas.txt.pif
ProtectionMail.txt.pif
Asunto del mensaje (virus que llegan por correo)
Re: Atentado Contra la Intimidad desde USA
Re: Conoces las Leyendas Urbanas?
Pruebas Nucleares
Re: Crees estar Seguro en Internet?
Mensajes Subliminales????
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4322
