Spybot.EAS Gusano cuya propagación se realiza través de canales IRC.
Posee capacidad para actuar como puerta trasera y para lanzar ataques de Denegación de Servicio Distribuido (DDoS).
Además, intenta robar información confidencial del equipo infectado.
Nombre completo: Worm-Backdoor.W32/Spybot.EAS@IRC
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [IRC] - Se envía a otros usuarios de un canal IRC.
Alias:W32.Spybot.EAS (Symantec), W32/Spybot.EAS (PerAntivirus), Backdoor.Spybot.EAS.IRC (Otros)
Cuando Worm-Backdoor.W32/Spybot.EAS@IRC es ejecutado, realiza las siguientes acciones:
Crea la siguiente copia de sí mismo %System%\winupdate.exe.
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a las siguientes claves del registro de Windows:
Claves: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Valor: "winupdate.reg" = "winupdate.exe"
Añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
Valor: "con.exe"
Borra las siguientes unidades compartidas de red:
$ipc
$admin
$c
$d
Intenta abrir una puerta trasera conectándose a un canal IRC en latina.a.la a través del puerto 6667.
El gusano permanecerá en espera de recibir comandos que permitan al atacante realizar las siguientes acciones:
Descargar y ejecutar ficheros.
Buscar servidores que tengan puertas traseras activas en la red.
Listar, detener y arrancar procesos.
Lanzar ataques de Denegación de Servicios (DoS).
Robar información del sistema y enviarsela al atacante.
Redireccionar puertos.
Podría buscar equipos en la red e intentar alguna de las siguientes vulnerabilidades:
Vulnerabilidad de Desbordamiento de búfer en UPnP NOTIFY. (descrita en el Boletín de Seguridad de Microsoft MS01-059.
Vulnerabilidad LSASS. (descrita en el Boletín de Seguridad de Microsoft MS04-011.
Intenta robar las claves de CD de los siguientes juegos:
Black and White
Battlefield 1942: Vietnam
Battlefield 1942: The Road To Rome
Battlefield 1942: Secret Weapons Of WWII
Battlefield 1942
Counter-Strike
Command and Conquer: Tiberian Sun
Command and Conquer: Red Alert2
Command and Conquer: Generals: Zero Hour
Command and Conquer: Generals
Call of Duty
Unreal Tournament 2004
Unreal Tournament 2003
The Gladiators
Soldier of Fortune II - Double Helix
Soldiers Of Anarchy
Shogun: Total War: Warlord Edition
Ravenshield
Neverwinter Nights
Need For Speed: Underground
Need For Speed: Hot Pursuit 2
NHL 2003
NHL 2002
Nascar Racing 2003
Nascar Racing 2002
Medal of Honor: Allied Assault: Spearhead
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault:
James Bond 007: Nightfire
Industry Giant 2
IGI2: Covert Strike
Hidden and Dangerous 2
Gunman Chronicles
Global Operations
Freedom Force
FIFA 2003
FIFA 2002
Intenta robar información de los usuarios así como los identificadores (ID) del siguiente software:
Microsoft Messenger service (MSN)
IDs de productos de Microsoft Windows.
Yahoo messenger.
AOL instant messenger (AIM)
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4334W32/Spybot.FS. Se copia como "wrdpad.exe"Nombre: W32/Spybot.FS
Tipo: Gusano de Internet y caballo de Troya
Alias: Spybot.FS, WORM_SPYBOT.FS
Plataforma: Windows 32-bit
Puerto: TCP 6667
Variante de la familia de gusanos W32/Spybot.fam. Utiliza varias vulnerabilidades (como la DCOM/RPC y LSASS), para tomar el control y propagarse a otros equipos vulnerables. También posee capacidad de troyano de acceso remoto por puerta trasera vía IRC.
Cuando se ejecuta, crea el siguiente archivo en la carpeta del sistema:
c:\windows\system32\wrdpad.exe
También crea un archivo de cero bytes en el directorio raíz de C:
c:\r0fl.txt
También agrega las siguientes entradas al registro de Windows, para su autoejecución:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Update Machine = wrdpad.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Microsoft Update Machine = wrdpad.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Microsoft Update Machine = wrdpad.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Microsoft Update Machine = wrdpad.exe
El nombre de estas claves pueden ser cambiadas por el atacante que controle al troyano via remota, después de una infección.
El gusano también modifica las siguientes entradas en el registro:
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM
EnableDCOM = "N"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous = "1"
Permanece residente, enganchándose al proceso EXPLORER.EXE. Después de auto instalarse en el sistema, el gusano se borra a si mismo. Pero al volver a ejecutarse su copia en la carpeta del sistema (al reiniciarse Windows), continúa el proceso iniciado.
Toma ventaja de la vulnerabilidad en los componentes DCOM/RPC de Windows XP, 2000 y NT, en aquellas computadoras que no poseen el parche correspondiente, para obtener acceso total al sistema y copiarse en otras computadoras.
Posee un componente troyano con acceso backdoor vía IRC, que permite a un intruso el control remoto de la computadora. Para ello intenta conectarse a un servidor de IRC, a través del puerto 6667.
El troyano puede capturar todo lo tecleado por el usuario infectado, descargar archivos de Internet, etc.
Más información:
http://www.vsantivirus.com/spybot-fs.htmTroj/StartPage.LG. Cambia página de Inicio y búsquedaNombre: Troj/StartPage.LG
Nombre Nod32: Win32/StartPage.LG
Tipo: Caballo de Troya (Parásito)
Alias: Startpage.8.BU, StartPage-EL, StartPage-EZ, TR/StartPage.LG, Trj/StartPage.IL, TROJ_STRTPAGE.K, Trojan.StartPage.181, Trojan.Win32.StartPage.lg, Trojan.Win32.StartPage.LG, Trojan:Win32/StartPage.KA, W32/Searche.A@adw, Win32/StartPage.LG
Plataforma: Windows 32-bit
Tamaño: 39,424 bytes
El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.
Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios.
Cuando este troyano se ejecuta, el mismo modifica la página de inicio y de búsqueda del Internet Explorer por la siguiente dirección:
http:/ /www .esearch .cc
Cuando se ejecuta, crea el siguiente archivo:
win32app.dll
Se identifica en el registro con las siguientes clases ID:
{5C472352-90D0-4214-BF20-8E4A2B82F980}
El parásito, crea o modifica los siguientes valores del registro:
HKLM\Software\Microsoft\Internet Explorer\Main
Default_Page_URL = http:/ /www .esearch .cc/
Default_Search_URL = http:/ /www .esearch .cc /s.php
Search Page = http:/ /www .esearch .cc /s.php
Start Page = http:/ /www .esearch .cc/
HKCR\CLSID
\{5C472352-90D0-4214-BF20-8E4A2B82F980}\InprocServer32
HKCR\Shorty.Gopher
HKCR\Shorty.Gopher.1
Más información:
http://www.vsantivirus.com/troj-startpage-lg.htmInfectr. 20ATroyano programado para abrir un puerto determinado y esperar sobre el las conexiones del atacante.
Nombre completo: Backdoor.W32/Infectr.20A
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
w32
Alias:BKDR_INFECTR.20A (Trend Micro)
Cuando se ejecuta, permanece residente en memoria y abre un perto de comunicaciones determinado donde espera la conexión remota del atacante.
Una vez establecida, la máquina infectad podrá recibir comandos para realizar tareas como las siguientes:
Enviar y recibir ficheros.
Obtener todo tipo de información del sistema, hardware y configuración
Obtener datos de las claves almacenadas en la caché
Ocultar y mostrar el escritorio, el menú de inicio, la barra de tareas etc.
Abrir y cerrar la bandeja Porta-CD.
Realizar capturas de pantalla.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4336Forbot.AR Forbot.AR es un gusano que se extiende a través de unidades compartidas de red. Tiene capacidad de puerta trasera y permite el acceso no autorizado al equipo infectado a través de canales IRC.
Nombre completo: Worm-Backdoor.W32/Forbot.AR@SMB
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [SMB] - Se difunde por carpetas compartidas de red de Microsoft
Alias:W32/Forbot-AR (Sophos)
Forbot.AR se copia en la carpeta del sistema de Windows con el nombre securitychk.exe y crea las siguientes entradas en el registro para activarse en el inicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Secure Messenger.NET Service
securitychk.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\Win32 USB2 Driver
Microsoft Secure Messenger.NET Service
securitychk.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32 USB2 Driver
Microsoft Secure Messenger.NET Service
securitychk.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Win32 USB2 Driver
Microsoft Secure Messenger.NET Service
securitychk.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Win32 USB2 Driver
Microsoft Secure Messenger.NET Service
securitychk.exe
Forbot.AR también registra su propio servicio con el nombre "Microsoft Secure Messenger.NET Service".
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4338
