Autor Tema: 5 de octubre, virus  (Leído 2894 veces)

Desconectado Danae

  • Administrator
  • *
  • Mensajes: 3210
  • Casi siempre en el armario.
    • windowsfacil,  primeros pasos con windows y el pc
5 de octubre, virus
« en: 05 de Octubre de 2004, 07:47:43 pm »
W32/Bagz.B. Desactiva cortafuegos de Windows
Nombre: W32/Bagz.B
Nombre Nod32: Win32/Bagz.B
Tipo: Gusano de Internet
Alias: I-Worm.Bagz.A, I-Worm.Bagz.b, Trojan.BagzProxy, Trojan.Dropper.Agent.AI, Trojan.Proxy.Growom.B, TrojanProxy.Growom.A, TrojanProxy.Win32.Growom.b, W32.Bagz@mm, W32/Bagz!proxy, W32/Bagz.b@MM, Win32.HLLM.Bagz, Win32/Bagz.B
Plataforma: Windows 32-bit
Gusano que intenta deshabilitar el cortafuegos de Windows XP. Su presencia en un sistema infectado, resulta en una notoria caída de rendimiento en la conexión a Internet.
Se propaga por correo electrónico en forma masiva, utilizando su propio motor SMTP, a direcciones obtenidas en archivos de la máquina infectada. Utiliza remitentes falsos.
Los mensajes tienen las siguientes características:
De: [una dirección falsa]
Asunto: [uno de los siguientes]
- [Fwd: Broken link]
- big announcements
- building maintenance
- Cost Inquiry
- Deactivation Notice
- failure notice
- find a solution with this customer
- Fwd: Password
- Fwd: Your Funds are Eligible for Withdrawal
- Knowledge Base Article
- Message recieved, please confirm
- My funny stories
- Need help pls
- No Subject
- Open Invoices
- Order Approval
- progress news
- Questions
- Re: Help Desk Registration
- Re: payment
- RE: quote request
- RE: Re: A question
- Re: User ID Update
- referrences
- Returned mail: see transcript for details
- troubles are back again
- units available
- Webmail Invite
- What is this ????
- when should i call you?
- WinXP
- You have recieved an eCard!
Texto del mensaje: [uno de los siguientes]

Ejemplo 1:
Hello,
Sorry, I forgot to attach the new contact information.
Please view the attached (.pdf) contact sheet.
Sincerely,
User
Ejemplo 2:
Hello,
I resent this email as attachment because
it was previously blocked by your email filters.
Please read the attachment and respond.
Thanks,
User
Ejemplo 3:
Hello,
I was in a hurry and I forgot to attach an important
document. Please see attached.
Best Regards,
User
Ejemplo 4:
Hello,
Your email was received.
YOUR REPLY IS URGENT!
Please view the attached text file for instructions.
Regards,
User
Ejemplo 5:
Hello,
Your email was sent in an INVALID format.
To verify this email was sent from you,
simply open the attached email (.eml) file
and click yes in the sender options box.
Thank You,
User
Ejemplo 6:
Hello,
My PC crashed while I was sending that last email.
I have re-attached the document of yours that I discovered.
Please read attached document and respond ASAP.
Sincerely,
User
Ejemplo 7:
Hello,
What version of windows you are using?
This last document I received from you came out weird.
Please see the attached word file and resend the file to
me.
Many thanks,
User
Ejemplo 8:
***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM***
Hello,
The previous email you sent has been recognized as spam.
This means your email was not delivered to your friend or
client.
You must open the attached file to receive more
information.
***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM***
Ejemplo 9:
***ATTENTION: YOUR EMAIL IS NOT BEING DELIVERED!***
You are currently unable to send emails.
This may be a billing issue.
Please call the billing center.
The # for the billing office is located in the attached
contact list for your convenience.
***ATTENTION: YOUR EMAIL IS NOT BEING DELIVERED!***
Ejemplo 10:
***URGENT: SERVICE SHUTDOWN NOTICE***
Due to your failure to comply with our email
Rules and Regulations, your email account has been
temporarily suspended for 24 hours unless we are contacted
regarding this situation.
You must read the attached document for further
instructions. Failure to comply will result in termination
of your account.
Regards,
Net Operator
***URGENT: SERVICE SHUTDOWN NOTICE***
Ejemplo 11:
last request before refunding
Datos adjuntos: [uno de los siguientes]
account.doc [múltiples espacios] .exe
account.zip
arch.doc [múltiples espacios] .exe
arch.zip
archive.doc [múltiples espacios] .exe
archive.zip
atach.doc [múltiples espacios] .exe
atach.zip
att.doc [múltiples espacios] .exe
att.zip
contact.doc [múltiples espacios] .exe
contact.zip
Ctutorial.doc [múltiples espacios] .exe
db.doc [múltiples espacios] .exe
db.zip
doc.doc [múltiples espacios] .exe
doc.zip
documents.doc [múltiples espacios] .exe
documents.zip
file.doc [múltiples espacios] .exe
file.zip
mail.doc [múltiples espacios] .exe
mail.zip
message.doc [múltiples espacios] .exe
message.zip
messages.doc [múltiples espacios] .exe
messages.zip
msg.doc [múltiples espacios] .exe
msg.zip
read.doc [múltiples espacios] .exe
read.zip
readme.doc [múltiples espacios] .exe
readme.zip
support.doc [múltiples espacios] .exe
support.zip
warning.doc [múltiples espacios] .exe
warning.zip
Los archivos ZIP contienen una copia del gusano con una o dos extensiones separadas por espacios (JPG y PIF).

Cuando se ejecuta, crea los siguientes archivos:
c:\windows\system32\dl.exe
c:\windows\system32\syslogin.exe
c:\windows\system32\tutorial.doc [múltiples espacios] .exe

Crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
syslogin.exe = "syslogin.exe"
Deshabilita el cortafuegos de Windows XP, e instala su propio driver de redes para eludir el cortafuegos de la red local.
También puede descargar y ejecutar otros archivos desde Internet.
Busca direcciones electrónicas a las que luego se envía en mensajes como los descriptos antes, en archivos del equipo infectado con las siguientes extensiones:
.dbx
.htm
.tbb
.tbi
.txt
Más información: http://www.vsantivirus.com/bagz-b.htm

W32/ProcKill. Herramienta para terminar procesos
Nombre: W32/ProcKill
Nombre Nod32: Win32/ProcKill
Tipo: Programa (finaliza procesos)
Alias: ProcKill, Win32/ProcKill, ProcKill-Jkill
Plataforma: Windows 32-bit
Tamaño: 45,056 bytes
No se trata de un virus o de un troyano, sino de una aplicación legítima usada para matar procesos de Win32. El problema es cuando esta aplicación es incluida en otro malware sin el conocimiento del usuario, para finalizar los procesos de otras aplicaciones, incluidos antivirus y cortafuegos.
Por ejemplo, el adware identificado como "Adware.180Solutions" instala dicha aplicación. Aunque el adware muestra un acuerdo de licencia que el usuario debe aceptar para instalarlo, no se indica que "ProcKill" será instalado, ni su uso posterior.
Para eliminar este malware, ejecute un antivirus actualizado y borre toda presencia del mismo en el equipo.
Más información: http://www.vsantivirus.com/prockill.htm

Adware/180Solutions. Monitorea búsquedas en Internet
Nombre: Adware/180Solutions
Nombre Nod32: Win32/Adware.180Solutions
Tipo: Adware (Parásito)
Alias: 180Solutions, .Ncas, Adware.1088, Adware.180Search, Adware/180Solutions, application Adware-180Solutions, not-a-virus:AdvWare.180Solutions, Win32/Adware.180Solutions, Win32:Trojan-gen. {Other}
Plataforma: Windows 32-bit
Tamaño: variable
Este adware monitorea constantemente el contenido de la ventana del navegador de Internet, y abre páginas web con publicidad de sus afiliados, cuando ciertas palabras son usadas en buscadores o sitios de compra.
Este adware se instala como parte de otros programas. Aunque generalmente se le solicita al usuario su consentimiento para la instalación de este tipo de software, no se indica la verdadera utilidad del mismo, ni que entorpecerá el funcionamiento de su navegador, además de espiar sus búsquedas en la red.
El adware instala los siguientes archivos en el sistema:
boomerang.exe
msbb.exe
Agrega las siguientes entradas en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MSBB = [camino y nombre del ejecutable]
Mientras se ejecuta, además de monitorear el ingreso de ciertas palabras (configurable por el programa o sitio que agrega el adware), examina si el mismo u otros componentes han sido removidos del sistema, y es capaz de repararse reinstalando los archivos eliminados.
Más información: http://www.vsantivirus.com/adware-180solutions.htm

Troj/PWS.Ldpinch.NAI. Roba contraseñas e información
Nombre: Troj/PWS.Ldpinch.NAI
Nombre Nod32: Win32/PSW.LdPinch.NAI
Tipo: Caballo de Troya robador de contraseñas
Alias: Bloodhound.Packed, I-Worm.Plexus.C, PSW.Ldpinch.3.BC, PSW.Ldpinch.3.BD, PSW.Ldpinch.3.J, PWS-LDPinch,
PWS-LDPinch.dll, PWSteal.Ldpinch.B, W32/Ldpinch.AR@pws, TR/PSW.LdPinch.EZ, Trj/Ldpinch.gen, Troj/LdPinch-EZ, Trojan.PSW.LdPinch.ez, Trojan.PSW.LdPinch.EZ, Trojan.Psw.Ldpinch.Ez, Trojan.PSW.LdPinch.Z, Trojan.PWS.LDPinch.163, Trojan.PWS.LDPinch.176, Trojan.PWS.LDPinch.187, Win32/PSW.LdPinch.NAI, TROJ_LDPINCH.V
Plataforma: Windows 32-bit
Tamaño: 10,565 bytes
Este troyano intenta robar contraseñas de la computadora infectada, las que son enviadas luego al autor.
Cuando se ejecuta, se copia en el directorio de Windows:
c:\windows\csrss.exe
c:\windows\dll.dll
c:\windows\[nombre usado por el ejecutable]
Agrega las siguientes entradas en el registro para autoejecutarse en cada reinicio:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
TaskMrg = [camino y nombre del troyano]
HKCR\CLSID
\{EA470A1D-6752-424E-9706-128DC615DF71}
\InProcServer32
(Predeterminado) = dll.dll
HKLM\Software\Microsoft\Windows
\CurrentVersion\ShellServiceObjectDelayLoad
Systask = {EA470A1D-6752-424E-9706-128DC615DF71}
Además, crea las siguientes entradas en el registro:
HKCU\Software\Far
HKCU\Software\Far\Plugins
HKCU\Software\Far\Plugins\FTP
HKCU\Software\Far\Plugins\FTP\Hosts
HKCU\Software\Ghisler
HKCU\Software\Ghisler\Total Commander
HKCU\Software\Ghisler\Windows Commander
HKCU\Software\RIT
HKCU\Software\RIT\The Bat!
HKCU\Software\Mirabilis\ICQ\NewOwners
HKEY_LOCAL_MACHINE\Software\Ghisler
HKEY_LOCAL_MACHINE\Software
\Ghisler\Total Commander
HKEY_LOCAL_MACHINE\Software
\Ghisler\Windows Commander
HKEY_LOCAL_MACHINE\Software\Mirabilis
\ICQ\DefaultPrefs
El troyano monitorea y captura la siguiente información:
Contraseñas utilizadas por el usuario.
Datos de las cuentas de correo del usuario infectado.
Información del sistema.
Nombre de usuario.
Nombre del equipo.
Esta información es enviada por correo electrónico al autor del troyano utilizando su propio motor SMTP, en un mensaje con el asunto "Passes from Pinch (nombre del equipo)", a una dirección en el siguiente dominio:
fatal-aid.mail.ru
No posee rutinas de propagación, y suele distribuirse manualmente, generalmente bajo la premisa de que es una inocente utilidad. Los canales de distribución más usados son el correo electrónico, listas de noticias (newsgroups), canales de IRC, y redes P2P como KaZaa y otros.
Más información: http://www.vsantivirus.com/pws-ldpinch-nai.htm

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 15865
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
5 de octubre, virus
« Respuesta #1 en: 05 de Octubre de 2004, 07:50:45 pm »
Gracias danae....

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License