W32/Netsky.AG. Se propaga por correo electrónicoNombre: W32/Netsky.AG
Tipo: Gusano de Internet Caballo de Troya de acceso remoto
Alias: Netsky.AG, W32/Netsky.ah@MM, W32/Netsky-AE, W32/Netsky.ai@MM
Plataforma: Windows 32-bit
Tamaño: 30,752 bytes
El 21 de octubre fue reportada una nueva variante del Netsky.
A diferencia de otras variantes, no modifica el registro para autoejecutarse en próximos reinicios (pero si crea una entrada para el "keylogger" que instala). Tampoco se envía en adjuntos con extensión .ZIP, ni lo hace en múltiples mensajes con características variables. Además, no se propaga por recursos compartidos en redes.
Existen al menos dos variantes creadas el mismo día, con pequeñas diferencias entre ellas. Ambas poseen algunos errores en su código que hace que no se ejecuten correctamente en algunos sistemas.
Cuando se ejecuta, si detecta una conexión a Internet establecida, el gusano intenta enviarse a si mismo a direcciones encontradas en archivos del sistema infectado.
Las muestras reportadas utilizaban un mensaje como el siguiente:
Para: [destinatario]
De: [destinatario]
Asunto: Mail Delivery failure - [destinatario]
Texto del mensaje:
If the message will not displayed automatically,
you can check original in attached message.txt
Failed message also saved at:
www. [dominio] .com/inbox/security/read.asp?sessionid-?????
(check attached instructions)
+++ Attachment: No Virus found
+++ MC-Afee AntiVirus -
www.mcafee.com Datos adjuntos:
message txt length ????? bytes mcafee.com
En todos los casos, "?????" son números al azar.
Cuando el adjunto es ejecutado en forma manual (al ser recibido), el gusano crea los siguientes archivos:
c:\csrss.exe
c:\csrss.bin
CSRSS.EXE es un keylogger (un programa que monitorea constantemente la salida del teclado, para capturar todo lo ingresado a través de él). Para ejecutarlo en cada reinicio, el gusano crea la siguiente entrada en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Key Logger = "c:\csrss.exe"
El archivo CSRSS.BIN almacena lo capturado desde el teclado.
El gusano busca direcciones electrónicas en archivos con las siguientes extensiones, en todas las unidades de disco y mapeadas en red, de la C a la Z, excepto unidades de CD-Rom:
.dat
.dbx
.eml
.mbx
.mdb
.tbb
.wab
También busca direcciones en archivos cuyos nombres contienen la siguiente cadena:
inbox
El gusano contiene una rutina capaz de enviar paquetes SYN a direcciones IP al azar en puertos TCP seleccionados entre el 28000 y el 28500.
Reparación 1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre los siguientes archivos:
c:\csrss.bin
c:\csrss.exe
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Key Logger
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Más información:
http://www.vsantivirus.com/netsky-ag.htm Troj/Sens.A. Monitorea la red, envía datosNombre: Troj/Sens.A
Tipo: Caballo de Troya
Alias: Sens, Trojan.Sens, Win32/Sens.A
Plataforma: Windows 32-bit
Tamaño: varios
Caballo de Troya que monitorea la actividad de la red en la computadora infectada. Puede enviar información robada del equipo actual, a un usuario remoto.
No se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.
Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios.
El troyano está compuesto por los siguientes elementos:
install.bat
launcher.exe
testdll.dll
winhost.dll
El archivo INSTALL.BAT es el instalador. Cuando el troyano se instala, crea las siguientes copias de si mismo:
c:\windows\system32\iat.dll
c:\windows\system32\senss.exe
Crea las siguientes entradas en el registro de Windows:
HKLM\SYSTEM\CurrentControlSet\Services\SENS\Parameters
Interactive = "0"
program = "senss.exe"
ServiceDll = "[camino]\winhost.dll"
Esto captura el servicio "Notificación de sucesos del sistema" (SENS), asegurándose que el archivo SENSS.EXE (una copia del troyano), se ejecute en cada reinicio de Windows.
NOTA: SENS es un servicio ejecutado por Windows para registrar sucesos del sistema, tales como los de inicio de sesión en Windows, red y energía, etc.
El troyano también carga en memoria su copia IAT.DLL para llevar a cabo inyecciones de código en el proceso de WINLOGON.EXE, iniciado por Windows en el inicio de sesión. Este código contiene las funciones de monitoreo de red, para espiar la actividad de la misma, y enviar información a un atacante remoto.
Más información:
http://www.vsantivirus.com/troj-sens-a.htm
