JS/Scob.A. Descarga archivos al visitar sitios WebNombre: JS/Scob.A
Tipo: Caballo de Troya de Java Script
Alias: Scob, Toofer, JS/Scob, JS.Toofer, JS/Exploit-DialogArg.b, JS.Scob.Trojan, Win32.Toofer, JScript/Toofer.Trojan, JS/Scob-A, Trojan.JS.Scob.a
Fecha: 24/jun/04
Plataforma: Windows 32-bit
Tamaño:
Es un troyano del tipo downloader (descarga otros archivos), escrito en JavaScript.
Fue detectado en algunos sitios de Internet el 24 de junio. Se agrega a páginas existentes en servidores de Internet, por ejemplo archivos de imágenes JPG, GIF, HTML, etc.
Cuando se ejecuta, utiliza un marco invisible (utilizando iFrame) para conectarse a un sitio Web e intentar descargar un programa malicioso (al momento de esta descripción, se informa de reportes de una variante del troyano Padodor -también conocido como Webber- como descargada por este troyano). Ver "Back/Padodor.W. Roba información confidencial.
También crea una cookie en el sistema, con fecha de expiración en una semana. Eso hace que el usuario no se conecte al sitio remoto, al menos hasta una semana después. La cookie comienza con los siguientes caracteres:
trk716
El troyano se aprovecha de servidores IIS (Microsoft Internet Information Server) vulnerables, donde se instala como AGENT.EXE (detectado como W32/Scob o W32/Toofer, ver "W32/Scob.A. Infecta servidores IIS 5.0", y libera una utilidad de administración para el IIS llamada ADS.VBS.
En el servidor, el troyano ejecuta el siguiente comando:
csript.exe ads.vbs enum /p w3svc
Envía la salida al archivo de texto W3ENUM.TXT donde la salida es interpretada para conseguir el directorio IIS. Entonces, libera el componente JS/Scob en el directorio "inetsrv\" con nombres al azar, por ejemplo:
iis72a.dll
Después vuelve a utilizar ADS.VBS para agregar el DLL creado al contenido HTTP servido por el IIS, tanto en archivos HTML como CSS, incluidos GIF, JPG, etc.
Cuando un usuario visualiza alguna de dichas páginas, el troyano intenta descargar de un sitio ruso, ciertos archivos, aprovechándose de dos vulnerabilidades del Internet Explorer, una de ellas aún no solucionada (a la fecha de esta descripción).
El sitio web está actualmente cerrado, al menos para la versión examinada del troyano.
El HTML comprometido utiliza dos exploits conocidos como "JS.ModalDZoneBypass.exploit" y "HTML.MHTMLRedir.exploit".
Este último se vale de una vulnerabilidad conocida como "MHTML URL Processing Vulnerability", y afecta al sistema de ayuda online de Windows, permitiendo la descaga y ejecución remota de un archivo desde un sitio Web.
La solución es descargar e instalar el parche (aunque se menciona el Outlook Express, corrige el fallo para todos los demás componentes de Windows):
MS04-013 Parche acumulativo para Outlook Express (837009)
Más información:
http://www.vsantivirus.com/js-scob-a.htmW32/Scob.A. Infecta servidores IIS 5.0Nombre: W32/Scob.A
Tipo: Caballo de Troya
Alias: Scob, Toofer, Win32.Toofer, Win32/Scob.A
Fecha: 24/jun/04
Plataforma: Windows 32-bit
Este troyano afecta a servidores Microsoft Internet Information Services 5.0 (IIS), e indirectamente a usuarios de Microsoft Internet Explorer.
No afecta a usuarios con el RC2 de Windows XP instalado (versión Release Candidate del futuro Service Pack 2 de Windows XP, solo en inglés).
También son vulnerables los usuarios de Windows 2000 Server que utilicen Microsoft IIS, y que no hayan aplicado el siguiente parche:
MS04-011 Actualización crítica de Windows (835732)
El troyano se instala en los servidores vulnerables, como AGENT.EXE, y libera una utilidad de administración para el IIS llamada ADS.VBS.
Una vez activo, ejecuta el siguiente comando:
csript.exe ads.vbs enum /p w3svc
Envía el resultado de la salida, al archivo de texto W3ENUM.TXT donde la misma es interpretada para conseguir el directorio IIS. Entonces, libera el componente JS/Scob en el directorio "inetsrv\" con nombres al azar, por ejemplo:
iis72a.dll
Después vuelve a utilizar ADS.VBS para agregar el DLL creado al contenido HTTP servido por el IIS, tanto en archivos HTML como CSS, incluidos GIF, JPG, etc.
Cuando un usuario visualiza alguna de las páginas del servidor comprometido, se infecta con el componente JavaScript (JS/Scob.A). Para lograrlo, el troyano se aprovecha de dos vulnerabilidades del Internet Explorer, una de ellas aún no solucionada (a la fecha de esta descripción).
Más información:
http://www.vsantivirus.com/scob-a.htmBack/Padodor.W. Roba información confidencialNombre: Back/Padodor.W
Tipo: Gusano de Internet Caballo de Troya de acceso remoto
Alias: Padodor.W, Padodor, Padodoor, Win32/Padodor.NAA, Win32/Padodor.W, Back/Padodor.NAA, Troj/Padodor.NAA, Backdoor.Padodor.w, Backdoor.Padodor.gen, Webber.P, Bck/Webber.P, Berbew.F, Backdoor.Berbew, Win32/TrojanProxy.Webber, Backdoor.Berbew.E, Back/Berbew.E
Fecha: 25/jun/03
Plataforma: Windows 32-bit
Tamaño: 51,712 bytes (exe), 6,145 bytes (dll)(MPPEC)
Troyano que roba información confidencial de la computadora infectada, así como datos de cuentas bancarias, capturando todo lo tecleado por el usuario al acceder a bancos on-line.
Se han reportado instalaciones de este troyano al visitar sitios infectados, que ejecutan en las computadoras de los usuarios un JavaScript que explota varias vulnerabilidades (ver "JS/Scob.A. Descarga archivos al visitar sitios Web"
El troyano puede descargar otros componentes de Internet, además de enviar la dirección IP de la máquina infectada a otros equipos, actuando como Proxy de hasta 100 conexiones simultáneas. Esto puede ser usado para que un usuario remoto utilice la máquina infectada como "lanzadera" de cualquier clase de datos, por ejemplo SPAM.
Cuando se ejecuta el troyano, se descarga e instala clandestinamente un servidor proxy.
Además de robar contraseñas, intenta extraer información de la máquina infectada y enviarla a un script de CGI
Más información:
http://www.vsantivirus.com/back-padodor-w.htmBack/Padodor.NAA. Roba información confidencialNombre: Back/Padodor.NAA
Tipo: Gusano de Internet Caballo de Troya de acceso remoto
Alias: Padodor.W, Padodor, Padodoor, Win32/Padodor.NAA, Win32/Padodor.W, Back/Padodor.NAA, Troj/Padodor.NAA, Backdoor.Padodor.w, Backdoor.Padodor.gen, Webber.P, Bck/Webber.P, Berbew.F, Backdoor.Berbew, Win32/TrojanProxy.Webber, Backdoor.Berbew.E, Back/Berbew.E
Fecha: 25/jun/03
Plataforma: Windows 32-bit
Tamaño: 51,712 bytes
Más información:
http://www.vsantivirus.com/back-padodor-naa.htmW32/Korgo.V. Infecta equipos sin parche LSASSNombre: W32/Korgo.V
Tipo: Gusano de Internet
Alias: Korgo.V, Padobot.N, WORM_KORGO.V, Worm.Win32.Padobot.n, Win32/Korgo.V, Worm.Win32.Padobot.Gen
Fecha: 24/jun/04
Plataforma: Windows 32-bit
Tamaño: 9,353 bytes (PE-Patch + UPX)
Puertos: TCP 113, 3067, 6667, 445 y 256-8191 al azar
Variante reportada el 24 de junio de 2004, descarga y ejecuta archivos de Internet. Está recomprimida con PE-Patch y UPX.
Gusano que explota la conocida vulnerabilidad en el componente LSASS (usada también por gusanos como Sasser, Cycle, Bobax, etc.). Infecta equipos con Windows XP y 2000 sin el parche correspondiente instalado, por el simple hecho de conectarse estos a Internet, no siendo necesaria la ejecución de ningún archivo o adjunto que involucre acción alguna por parte del usuario.
Más información:
http://www.vsantivirus.com/korgo-v.htm(es la tercera vez que lo intento envíar, hoy no sé porqué, tengo problemas para entrar al foro) :roll: :roll:
