W32/Bugbear.K. Infecta archivos .EXENombre: W32/Bugbear.K
Tipo: Gusano de Internet
Alias: Bugbear.K, Win32/Bugbear.K, I-Worm.Tanatos, W32/Bugbear, W32.Bugbear.K@mm, Worm.W32/Bugbear.K@P2P+MM, W32/Bugbear.K@MM
Fecha: 28/jun/04
Plataforma: Windows 32-bit
Tamaño: 43,520 bytes (UPX)
Gusano que se propaga vía correo electrónico, utilizando su propio motor SMTP (Simple Mail Transfer Protocol). Utiliza direcciones de remitente falsificadas (obtenidas de la misma forma que las direcciones de los destinatarios).
Cuando se ejecuta, el gusano crea varios archivos con nombres al azar en el directorio System de Windows, un .EXE (el propio gusano), y algunos .DLL (el componente capaz de interceptar y capturar todo lo tecleado por el usuario infectado), usando las siguientes extensiones:
.dat
.dll
.exe
.tmp
También crea numerosos archivos con nombres al azar y las siguientes extensiones en la carpeta de Windows:
.dat
.nls
.bak
Más información:
http://www.vsantivirus.com/bugbear-k.htmW32/Nachi.K1. Utiliza diversas vulnerabilidadesNombre: W32/Nachi.K1
Tipo: Gusano de Internet
Alias: Nachi.K1, Welchia.K, WORM_NACHI.J
Fecha: 28/jun/04
Plataforma: Windows 2000 y XP
Tamaño: 45,216 bytes (UPX modificado)
Variante del Nachi.B (también conocido como Welchia), comprimido con una versión modificada de la utilidad UPX. Solo se ejecuta en Windows 2000 y XP. Borra archivos creados por otros gusanos. Se vale de conocidas vulnerabilidades, para las cuáles existen parches o actualizaciones.
Crea el siguiente semáforo (mutex), para no ejecutar más de una vez al mismo tiempo:
WksPatch_Mutex
Una vez residente en memoria, se copia como SVCHOST.EXE en la carpeta DRIVERS del sistema de Windows:
c:\windows\system32\drivers\svchost.exe
Más información:
http://www.vsantivirus.com/nachi-k1.htmW32/Donk.C. Gusano que usa la vulnerabilidad RPC/DCOMNombre: W32/Donk.C
Tipo: Gusano de Internet
Alias: Donk.C, WORM_DONK.C, Worm.Win32.Donk.c, Worm/Donk.C, W32/Donk.A.worm
Fecha: 28/jun/04
Plataforma: Windows 32-bit
Puertos: TCP/4444
Tamaño: 68,611 bytes (UPX)
Este gusano, escrito en Microsoft Visual C++ y comprimido con la herramienta UPX, intenta conectarse a servidores de IRC predeterminados en su código, para recibir instrucciones de un usuario remoto. También intenta finalizar la ejecución de varios antivirus y cortafuegos.
Cuando se ejecuta, se copia en las siguientes ubicaciones:
c:\windows\system\cool.exe
c:\windows\system\wnetlogin.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
Agrega las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft System Checkup = c:\windows\system\wnetlogin.exe
NT Logging Service = c:\windows\system\syslog32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Microsoft System Checkup = c:\windows\system\wnetlogin.exe
El gusano posee un error, y jamás crea el archivo SYSLOG32.EXE.
El gusano explota la vulnerabilidad RPC/DCOM para enviar datos al puerto TCP/135, e intentar conectarse a otras computadoras con recursos administrativos compartidos
Más información:
http://www.vsantivirus.com/donk-c.htm
