Autor Tema: URGENTE: que virus se conecta con cocaine.gotdns.com  (Leído 4560 veces)

Desconectado Alejandro

  • Newbie
  • *
  • Mensajes: 1
URGENTE: que virus se conecta con cocaine.gotdns.com
« en: 04 de Junio de 2004, 12:08:03 am »
Me urge saber que virus o gusano se conecta con cocaine.gotdns.com les agradecere eternamente si me dicen mi correo es [email protected]

gracias
En busca de enseñanzas

Desconectado ikun

  • Iniciado
  • *****
  • Mensajes: 1621
URGENTE: que virus se conecta con cocaine.gotdns.com
« Respuesta #1 en: 04 de Junio de 2004, 12:17:29 am »
En primer lugar bienvenido al foro!!! :D  :D  :D  :D
siento no poder ayudarte pero no entiendo bien tu pregunta.... :oops:  :oops:
eso que nos dices qué es?   :oops:

Desconectado sisipo

  • Iniciado
  • *****
  • Mensajes: 1500
    • dfotto.com
URGENTE: que virus se conecta con cocaine.gotdns.com
« Respuesta #2 en: 04 de Junio de 2004, 12:36:33 am »
Estimado Alejandro ;)

podría ser kizás este:

Win32/Deloder.A

busca info y verás que aparecen varias direcciones gotdns

Salu2!!
-- Canon 20D --
-- Ibook 12" --

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15344
    • https://www.daboblog.com
URGENTE: que virus se conecta con cocaine.gotdns.com
« Respuesta #3 en: 04 de Junio de 2004, 01:14:06 am »
bienvenido al foro, bien, no sera cocket.gotdns.com
 ???


aqui la info para eliminarlo, es facil, mira abajo del todo, en "eliminacion manual"


 http://www.enciclopediavirus.com/virus/vervirus.php?id=237

gracias sisipo por la pista, bienvenido al foro amigo

te edito tu direccion de mail, asi los robots de los spammers no la pillaran y te llenaran el buzon de porqueria, se bienvenido  :wink:
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; https://twitter.com/daboblog
Instagram: @daboblog


www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.davidhernandez

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15344
    • https://www.daboblog.com
URGENTE: que virus se conecta con cocaine.gotdns.com
« Respuesta #4 en: 04 de Junio de 2004, 01:15:35 am »
una vez que lo hayas leido, lo muevo al de virus  :wink:
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; https://twitter.com/daboblog
Instagram: @daboblog


www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.davidhernandez

Desconectado ikun

  • Iniciado
  • *****
  • Mensajes: 1621
ayudando.com
« Respuesta #5 en: 04 de Junio de 2004, 01:17:50 am »
otia claro!!

Peligro a traves del puerto 445


Symantec ha anunciado la presencia de un nuevo gusano que se vale del puerto TCP/445 para propagarse en este caso tratamos W32/Delolder.

Aunque la mayoría de los usuarios conoce los riesgos del puerto 139, usado por Windows para compartir archivos y carpetas, muchos ignoran que el puerto 445 en W2K, XP y Server 2003, permite prácticamente lo mismo que el anterior. En este caso, es usado por el SMB (Server Message Block).
 

Nombre: W32/Deloder
Tipo: Gusano de Internet
Alias: W32.HLLW.Deloder, WORM_DELODER.A, W32/Deloder-A, Deloder, W32/Deloder.worm, W32/Troj/Backdoor/Deloder, Worm.Win32.Deloder, Backdoor.Dvldr, Win32.Deloder Trojan, BKDR_DELODER.A, BackDoor.ARG
Fecha: 8/mar/03
Plataforma: Windows 2000 y XP (pero puede propagarse desde Win9x, Me)

El gusano Delolder (de origen Chino), hace uso de una herramienta legítima, PSEXEC.EXE (de SysInternals), para modificar y ejecutar en forma remota los archivos involucrados con el gusano. También apela a un sistema de despliegue remoto (VNC), también legítimo, para sus acciones de troyano de acceso remoto.

El archivo con el que se transmite es DVLDR32.EXE, el cuál está programado en Microsoft Visual C++ y comprimido con la utilidad ASPack.

Cuando DVLDR32.EXE se ejecuta, el gusano extrae el archivo PSEXEC.EXE en el mismo directorio. Como dijimos, PSEXEC es una herramienta de red totalmente legal pero contiene datos binarios embebidos en su código, que son grabados en la carpeta "\\RemoteSystem\ADMIN$\System32" co
mo PSEXESVC.EXE, el cuál es luego ejecutado, funcionando como servidor de PSEXEC.EXE, responsable de iniciar los procedimientos remotos y redireccionamientos de entrada y de salida de y hacia la máquina cliente.

PSEXEC.EXE inicia a PSEXESVC.EXE pasándole argumentos en la línea de comandos (login, etc.). Sin estos argumentos, el proceso se comporta con los privilegios normales de cualquier usuario que ejecuta esta herramienta.

El gusano crea luego la siguiente entrada en el registro para autoejecutarse en cada reinicio del sistema:

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    messnger = [camino donde se ejecuta el troyano]\Dvldr32.exe

Para evitar múltiples instancias de si mismo en memoria, el troyano crea un único mutex llamado "testXserv", que utiliza como semáforo para indicar que ya se está ejecutando.

El gusano utiliza el puerto TCP/445 (conocido por Microsoft como "DS port") para conectarse a máquinas remotas en la misma red. Realiza un escaneo en un rango de direcciones IP determinadas, buscando computadoras con este puerto abierto. Si los encuentra, intenta loguearse en estas máquinas como administrador, utilizando una de las siguientes contraseñas:

    "" (solo Enter)
    "0"
    "000000"
    "00000000"
    "007"
    "1"
    "110"
    "111"
    "111111"
    "11111111"
    "12"
    "121212"
    "123"
    "123123"
    "1234"
    "12345"
    "123456"
    "1234567"
    "12345678"
    "123456789"
    "1234qwer"
    "123abc"
    "123asd"
    "123qwe"
    "2002"
    "2003"
    "2600"
    "54321"
    "654321"
    "88888888"
    "a"
    "aaa"
    "abc"
    "abc123"
    "abcd"
    "admin"
    "Admin"
    "admin123"
    "administrator"
    "alpha"
    "asdf"
    "computer"
    "database"
    "enable"
    "foobar"
    "god"
    "godblessyou"
    "home"
    "ihavenopass"
    "Internet"
    "login"
    "Login"
    "love"
    "mypass"
    "mypass123"
    "mypc"
    "mypc123"
    "oracle"
    "owner"
    "pass"
    "pass"
    "passwd"
    "password"
    "Password"
    "pat"
    "patrick"
    "pc"
    "pw"
    "pw123"
    "pwd"
    "qwer"
    "root"
    "secret"
    "server"
    "sex"
    "super"
    "sybase"
    "temp"
    "temp123"
    "test"
    "test123"
    "win"
    "xp"
    "xxx"
    "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
    "yxcv"
    "zxcv"

Si el acceso se produce satisfactoriamente, el troyano hace uso de la herramienta PSEXEC.EXE para crear una copia con el nombre de DVLDR32.EXE y los atributos de solo lectura habilitados (+R) en la máquina accedida.

También libera un archivo con el nombre de INST.EXE en las siguientes ubicaciones:

    \%s\C$\WINNT\All Users\Start Menu\Programs\Startup\
    \%s\C\WINDOWS\Start Menu\Programs\Startup\
    \%s\C$\Documents and Settings\All Users\Start Menu\Programs\Startup\

Donde "$s" corresponde al nombre de red asignada a esa computadora.

Estas carpetas, excepto una con un camino equivocado (\%s\C\), usualmente corresponden a las carpetas de inicio, de modo que el troyano se ejecutará cada vez que una de esas computadoras se reinicie.

INST.EXE es el componente troyano, que a su vez libera otros archivos en el sistema, los que componen un servidor "VNC":

    cygwin1.dll
    explorer.exe
    omnithread_rt.dll
    VNCHooks.dll

INST.EXE (684,652 bytes), crea además los siguientes archivos:

    C:\Windows\Fonts\rundll32.exe (el troyano propiamente dicho)
    C:\Windows\Fonts\explorer.exe
    C:\Windows\Fonts\omnithread_rt.dll
    C:\Windows\Fonts\VNCHooks.dll
    C:\Windows\System\cygwin1.dll

"C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

El archivo EXPLORER.EXE, es originalmente WINVNC.EXE, el nombre original del servidor VNC, una herramienta legítima de administración. Los archivos .DLL (menos cygwin1.dll) son parte normal de ese servidor.

VNC (Virtual Network Computing), es un sistema legítimo (y gratuito) creado por la Universidad de Cambridge, que permite visualizar en forma remota el entorno de otra computadora conectada en red (a través de Internet, etc.), conectando entre si una gran variedad de arquitecturas diferentes.

El componente "backdoor", utiliza esta aplicación para acceder y controlar en forma remota el sistema. Para impedir ser identificado, el troyano oculta el icono de la herramienta de la bandeja del sistema, cuando ésta se ejecuta.

A través del uso malicioso de esta herramienta, un intruso puede tomar el control de los sistemas infectados.

El archivo CYGWIN1.DLL, es un emulador UNIX (Cygwin Posix Emulation DLL), que provee de funciones de interface API de UNIX al troyano. Este archivo no contiene ningún código maligno, y es una herramienta legítima, usada maliciosamente por el troyano.

La configuración de la utilidad VNC se almacena en las siguientes claves (y subclaves):

    HKEY_LOCAL_MACHINE\Software\ORL
    HKEY_CURRENT_USER\Software\ORL

El troyano agrega las siguientes entradas en el registro para autoejecutarse en cada reinicio del sistema:

    HKEY_LOCAL_MACHINE\Software\Windows\CurrentVersion\Run
TaskMan = C:\Windows\Fonts\rundll32.exe

    HKEY_LOCAL_MACHINE\Software\Windows\CurrentVersion\Run
Explorer = C:\Windows\Fonts\explorer.exe

El gusano también libera otro componente backdoor para conectarse clandestinamente a servidores de IRC (de una lista de 13), RUNDLL32.EXE.

Este componente notifica al atacante que el sistema está pronto para permitir el acceso remoto, además de enviar la contraseña necesaria para conectarse al componente VNC. Para ello, selecciona un nickname de una lista e intenta conectarse a alguno de los siguientes servidores de IRC a través del puerto 6667:

    cocket.bounceme.net
    cocket.dyn.nicolas.cx
    cocket.dynup.net
    cocket.getmyip.com
    cocket.gotdns.com
    cocket.ma.cx
    cocket.minidns.net
    cocket.mooo.com
    cocket.nailed.org
    cocket.orgdns.org
    cocket.phathookups.com
    cocket.pokemonfan.org
    cocket.staticcling.org

El nickname es seleccionado de esta lista:

    boyzz
    coked
    fuck
    garc
    girli
    kiwi
    micha
    mike
    monic
    moon
    nikis
    penis
    poer
    radi
    rahim
    rock
    rosi
    schen
    serve
    south
    step
    titi
    trick
    turu
    uglyc
    wolf

Los siguientes archivos están relacionados con el troyano:

    * cygwin1.dll (944,968 bytes, es un archivo inocente)
    * dvldr32.exe (745,984 bytes es el gusano)
    * explorer.exe (212,992 bytes una aplicación VNC)
    * inst.exe (684,562 bytes es el dropper del Backdoor)
    * omnithread_rt.dll (57,344 bytes una aplicación VNC)
    * psexec.exe (36,352 bytes, es una aplicación legítima para lanzar procesos en forma remota)
    * rundll32.exe (29,336 bytes, un Backdoor de IRC)
    * VNCHooks.dll (32,768 bytes una aplicación VNC)

Sus principales características maliciosas son:

    * Captura información de la configuración del servidor y de las estaciones de trabajo.
    * Control de Acceso Remoto de los archivos y programas de los sistemas infectados.
    * Puede ejecutar archivos o comandos en forma remota.
    * Infecta y deshabilita los recursos "ocultos" compartidos de las redes.

Cuando se ejecuta, el troyano deshabilita los siguientes recursos compartidos que normalmente se hayan "ocultos":

    admin$
    ipc$
    c$
    d$
    e$
    f$

El gusano no funciona en sistemas Windows 95, 98 y Me, pero sin embargo, si puede propagarse por ellos.

Un síntoma de la presencia del gusano es un aumento del tráfico por el puerto TCP/445.

La gráfica (de www.dshield.org), muestra el aumento de requerimientos para el puerto 445 (en amarillo) al 10 de marzo de 2003.

Aunque la mayoría de las máquinas corporativas protegen este puerto con cortafuegos y políticas de conexiones permitidas que lo bloquearían, existen algunos escenarios que pueden convertirse en un gran riesgo.

1. Máquinas conectadas a accesos directos a Internet (módem, etc.) fuera del ambiente corporativo, tanto en domicilios privados como durante viajes de negocio, que luego vuelven a la red corporativa.

2. Máquinas que utilizan conexiones VPN dentro de la red corporativa, pero que no están debidamente protegidas al conectarse a una conexión directa a Internet.


Creo que me he welto a pasar.Siempre posteo cosas mu largas pero es xa informaros mejor... :oops:  :oops:

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15344
    • https://www.daboblog.com
URGENTE: que virus se conecta con cocaine.gotdns.com
« Respuesta #6 en: 04 de Junio de 2004, 02:03:11 am »
gracias ikun, es mas o menos lo que pone en el link

que nuestro amiga haga lo que le comenté, en la parte de abajo pone eliminacion manual, es sencillo ya digo, a ver que nos dice  :wink:
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; https://twitter.com/daboblog
Instagram: @daboblog


www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.davidhernandez

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License