Troj/Agent.AC. Se carga al visitar páginas WebNombre: Troj/Agent.AC
Tipo: Caballo de Troya de acceso remoto
Alias: Agent.AC, Win32/Agent.AC, Bck/Agent.E, TROJ_AGENT.AC, Win32.Mersting.B, BackDoor-CFB, Win32:Trojano-092 [Trj], BDS/Agent.AC, BackDoor.Agent.BA, Backdoor.Agent.ac, Backdoor.Agent.AC, Trojan.DownLoader.245, BackDoor-CFB, Trojan.Agent.Ac, Win32/Agent.AC, TROJ_AGENT.AC, Backdoor:Win32/Agent.AC, Win32.Mersting.B, Trojan.092
Fecha: 7/jul/04
Plataforma: Windows 32-bit
Tamaño: 57,344 bytes (UPX)
Se trata del componente DLL (Dynamic Link Library), instalado por otros malwares (parásitos), cuando la víctima visita determinadas páginas. El archivo está comprimido con una versión modificada de la herramienta UPX.
Más información:
http://www.vsantivirus.com/troj-agent-ac.htm
Troj/Agent.J. Se carga al visitar páginas WebNombre: Troj/Agent.J
Tipo: Caballo de Troya de acceso remoto
Alias: Agent.J, Win32:Trojan-gen. {Other}, Downloader.Agent.K, TrojanDownloader.Win32.Agent.j, Trojan.DownLoader.133, security risk or a "backdoor" program, Downloader-IG.dll, Trojan.Keyhook.Bdgp, Download.Trojan, Trj/Agent.F, TROJ_AGENT.J, TrojanDownloader:Win32/Agent.J, Win32.Mersting.A, ~NEW_VIRUS, TrojanDownloader.Agent.E, Win32/Agent.J.Downloader.Trojan, TrojanDownloader.Win32.Agent.j, Trojan.Win32.Agent.21504
Fecha: 7/jul/04
Plataforma: Windows 32-bit
Tamaño: 21,504 bytes (UPX)
Se trata del componente DLL (Dynamic Link Library), instalado por otros malwares (parásitos), cuando la víctima visita determinadas páginas. El archivo está comprimido con una versión modificada de la herramienta UPX.
Más información:
http://www.vsantivirus.com/troj-agent-j.htmWIN32/TROJANPROXY.DAEMONIZE.U descripción
nombre: Win32/TrojanProxy.Daemonize.U
aliases: BKDR_DAEMONIZE.H
tipo: Troyano
fecha: 10/07/2004
Troyano de puerta trasera que actúa como servidor proxy. Un atacante externo puede tener control de la maquina infectada.
Cuando el troyano se ejecuta queda residente en memoria, actúa como un servidor proxy.
Esta comprimido con UPX, funciona desde línea de comando, permitiendo que un atacante remoto tenga control del equipo infectado.
Puede ser configurado para conectarse a una dirección IP utilizando cualquier puerto.
No crea archivos ni modifica el registro.
INSTRUCCIONES PARA ELIMINARLO
1. Desactive la restauración automática en Windows XP/ME.
2. Identifique el nombre del ejecutable utilizando un antivirus actualizado y tomando nota de los archivos detectados como infectados.
3. Luego, detenga el proceso del virus en memoria:
En Windows 9x y Me, pulse CTRL+ALT+SUPR.
En Windows NT/2000/XP pulse CTRL+SHIFT+ESC.
En ambos casos, en la lista de tareas (en Windows NT/2000 o XP, deberá seleccionar la lengüeta Procesos), señale la(s) que coincidan con los nombres de los ejecutables infectados detectados en el punto 1, y seleccione el botón de finalizar tarea.
4. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.
Más información:
http://www.enciclopediavirus.com/virus/vervirus.php?id=1019WIN32/TROJANPROXY.RANKY.NAF nombre: Win32/TrojanProxy.Ranky.NAF
aliases: TrojanProxy.Win32.Ranky.am, TROJ_RANKY.AM
tipo: Troyano
fecha: 10/07/2004
tamaño: 21,904 Bytes
Troyano que intenta descargar un script desde varios sitios web.
Cuando se ejecuta el troyano intenta descargar un archivo script desde los siguientes sitios web:
http://dn<BLOCKED>ag.homeip.net/a.php
http://dn<BLOCKED>ine.nu/a.php
http://fa<BLOCKED>lias.net/a.php
http://www.ar<BLOCKED>raten.de/public_html/a.php
También crea el mutex "fqevdb" para evitar ejecutarse más de una vez en memoria.
Crea las siguientes entradas en la clave del registro de Windows para ejecutarse en cada inicio del equipo:
HKLM\Software\Microsoft\Windows\CurrentVersion\Runvbndfer = [Nombre del archivo infectado]
INSTRUCCIONES PARA ELIMINARLO
1. Desactive la restauración automática en Windows XP/ME.
2. Ejecute un antivirus actualizado y elimine los archivos infectados.
3. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
4. Elimine bajo la columna "Nombre", la entrada "vbndfer", en la siguiente clave del registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
5. Cierre el editor del Registro del sistema
6. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.
Más información:
http://www.enciclopediavirus.com/virus/vervirus.php?id=1018W97M/NOSF.B nombre: W97M/Nosf.B
aliases: W97M.Nosf.B, Word97Macro/Nosf.B, W97M/Nosf.A, ~W97M/Nosf, ~Macro.VBA, W97M.Timret, W97M/Nosrefa.A, IRC-Worm.Nosferatu, W97M/Nosf.B, W97M/Nosferatu
tipo: Macrovirus
fecha: 10/07/2004
tamaño: 9,443 Bytes
destructivo: Si
origen: Cuba
Macro que Microsoft Word, Se propaga en documentos infectados, desactiva varias funciones de Word. Si se encuentra instalada alguna aplicación mIRC, la macro trata de propagarse enviando el archivo PASSWORDS.DOC.
Cuando la macro se ejecuta deshabilita las siguientes funciones de Word:
Protección de virus.
Actualización de pantalla (refresh).
Macros automáticas.
Además impide el uso del editor de Visual Basic desactivando el menú de dicho editor.
Crea los siguientes archivos dentro de la carpeta C:\WINDOWS\SYSTEM:
ANT.DLL
ANTFORM.DLL
De acuerdo a la versión de sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
El archivo "Ant.dll" contiene el código de la macro, el otro archivo "Antform.dll" es la interfase grafica.
Una vez que los documentos hayan sido infectados ambos archivos "dll" son borrados.
Crea la siguiente entrada en el registro de Windows si esta no existe:
HKLM\Security\Networkanthill =[Día de la infección]:[Mes de la infección]
counter = [Cantidad de archivos infectados]
Cambia la página de inicio del Internet Explorer modificando los valores existentes en la siguiente clave del registro:
HKCU\Software\Microsoft\Internet Explorer
MainStart Page =
http://www.ringo82.narod.ru/termit.htmlCambia el nombre del equipo, organización, nombre del usuario y nombre del producto por "soldier", "ant-hill-7", "Mephist0pHELL" y "base", para ello modifica o agrega las siguientes claves en el registro:
HKLM\System\CurrentControlSet\Control\ComputerNameComputerName = soldier
HKLM\Software\Microsoft\Windows\CurrentVersion\RegisteredOrganization = ant-hill-7
HKLM\Software\Microsoft\Windows\CurrentVersion\RegisteredOwner = Mephist0pHELL
HKLM\Software\Microsoft\Windows\CurrentVersion\ProductName = base
Revisa la presencia de alguna aplicación mIRC, buscando la siguiente clave:
HKCU\Software\mIRC
Si detecta la existencia de alguna, graba un documento infectado con el nombre "PASSWORDS.DOC" y libera el archivo "SCRIPT.INI" en la carpeta mIRC.
El archivo "SCRIPT.INI" envía una copia del documento "PASSWORDS.DOC" a usuarios que se encuentren conectados al canal que la maquina infectada se conecte.
Para engañar a otros usuarios muestra el siguiente mensaje:
Look at this. It may be interesting for u
La macro revisa la siguiente clave para determinar la cantidad de veces que ha sido infectado el equipo.
HKLM\Security\Network\counter
Si el valor es 15, 25, 35, 50, o 100, muestra en pantalla una ventana con el siguiente mensaje:
hello
Si el valor es 65 la macro cambia los botones del ratón agregando la siguiente clave:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce = rundll32 user,swapmousebutton
Si el valor es 90 reemplaza los iconos por defecto, modificando el valor existente por "C:\Windows\System\Shell32.dll,32" en las siguientes claves en el registro de Windows:
HKCR\avifile
HKCR\batfile
HKCR\binfile
HKCR\bmpfile
HKCR\comfile
HKCR\curfile
HKCR\datfile
HKCR\dllfile
HKCR\docfile
HKCR\DocShortcut
HKCR\drvfile
HKCR\file
HKCR\Folder
HKCR\fonfile
HKCR\frmfile
HKCR\giffile
HKCR\htmlfile
HKCR\inffile
HKCR\inifile
HKCR\jpgfile
HKCR\JSFile
HKCR\logfile
HKCR\mp3file
HKCR\oldfile
HKCR\sysfile
HKCR\tmpfile
HKCR\txtfile
HKCR\vxdfile
HKCR\wavfile
HKCR\wrifile
INSTRUCCIONES PARA ELIMINARLO
1. Desactive la restauración automática en Windows XP/ME.
2. Ejecute un antivirus actualizado y elimine los archivos infectados.
3. Debido a las modificaciones echas por la macro se debe reinstalar el sistema operativo.
Más información:
http://www.enciclopediavirus.com/virus/vervirus.php?id=1017
