W32/Korgo.AA. Infecta equipos sin parche LSASSNombre: W32/Korgo.AA
Tipo: Gusano de Internet
Alias: Korgo.AA, Win32.Korgo.AA, W32.Korgo.W, W32/Korgo.worm.gen, Win32/Korgo.Y.Worm, Win32.Korgo.Z, Worm.Win32.Padobot.p
Plataforma: Windows 32-bit
Tamaño: 9,359 bytes (UPX)
Puertos: TCP 113, 3067, 6667, 445 y 256-8191 al azar
Variante reportada el 13 de julio de 2004, descarga y ejecuta archivos de Internet. Está comprimida con la utilidad UPX.
Gusano que explota la conocida vulnerabilidad en el componente LSASS (usada también por gusanos como Sasser, Cycle, Bobax, etc.). Infecta equipos con Windows XP y 2000 sin el parche correspondiente instalado, por el simple hecho de conectarse estos a Internet, no siendo necesaria la ejecución de ningún archivo o adjunto que involucre acción alguna por parte del usuario.
Más información: "MS04-011 Actualización crítica de Windows (835732)",
Aunque la vulnerabilidad afecta a equipos con Windows XP o 2000, el gusano puede ejecutarse en equipos con otros Windows sin infectarlos, para propagarse.
Cuando se ejecuta, el gusano busca y borra el archivo FTPUPD.EXE en la carpeta actual.
Más información:
http://www.vsantivirus.com/korgo-aa.htmW32/Korgo.AB. Infecta equipos sin parche LSASSNombre: W32/Korgo.AB
Tipo: Gusano de Internet
Alias: Korgo.AB, Win32.Korgo.AB, Win32/Korgo.AB.Worm, W32/Korgo.worm.ab, W32.Korgo.X, Worm.Win32.Padobot.gen
Plataforma: Windows 32-bit
Tamaño: 9,359 bytes (UPX)
Puertos: TCP 113, 3067, 6667, 445 y 256-8191 al azar
Variante reportada el 13 de julio de 2004, descarga y ejecuta archivos de Internet. Está comprimida con la utilidad UPX.
Gusano que explota la conocida vulnerabilidad en el componente LSASS (usada también por gusanos como Sasser, Cycle, Bobax, etc.). Infecta equipos con Windows XP y 2000 sin el parche correspondiente instalado, por el simple hecho de conectarse estos a Internet, no siendo necesaria la ejecución de ningún archivo o adjunto que involucre acción alguna por parte del usuario.
Más información: "MS04-011 Actualización crítica de Windows (835732)"
Cuando se ejecuta, el gusano busca y borra el archivo FTPUPD.EXE en la carpeta actual.
Más información:
http://www.vsantivirus.com/korgo-ab.htmW32/Hardoc.A. Texto del mensaje: "!!! Power Point !!!"Nombre: W32/Hardoc.A
Tipo: Gusano de Internet
Alias: Hardoc, W32/Hardoc, W32.Hardoc@mm, Win32.Hardoc.A, Win32/Hardoc.A
Plataforma: Windows 32-bit
Tamaño: 5,120 bytes (UPX)
Gusano que se propaga por el correo electrónico, y utiliza su propio motor SMTP.
La primera vez que se ejecuta, el gusano muestra una ventana de error falsa, con el siguiente texto:
Error
Not Enought Memory
[ OK ]
Crea el siguiente mutex para no ejecutarse más de una vez en memoria:
HardCodeMutex
Se copia a si mismo en la carpeta del sistema de Windows con el siguiente nombre:
c:\windows\system\winre16.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
Agrega la siguiente clave en el registro para autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Windows Explorer-3212 = c:\windows\system\winre16.exe
El gusano utiliza mensajes en formato HTML con las siguientes características:
Asunto: [uno de los siguientes]
Fw:
Power Point
Re:
Texto del mensaje:
!!! Power Point !!!
Datos adjuntos:
PowerPoint.scr
Se envía a todos los contactos obtenidos de la libreta de direcciones de Windows.
El gusano se vale de una antigua vulnerabilidad del Internet Explorer (Incorrect MIME Header), para autoejecutarse cuando un usuario con una versión vulnerable de dicho programa, abre el mensaje para visualizarlo en el Outlook Express, o lo examina en el panel de vista previa.
Esta vulnerabilidad solo afecta a usuarios del Internet Explorer 5.5 SP1 y anteriores. Se sugiere la actualización al Internet Explorer más reciente (6.0 SP1).
Los días 17 y 23 de cada mes, el gusano deshabilita el teclado y el ratón.
Su código contiene el siguiente texto interno, jamás mostrado al usuario:
Bill gates, your software is bad. Open-Source for ever! I-Worm.HardCode V1.0 by BI, 05/2004
Más información:
http://www.vsantivirus.com/hardoc-a.htmLovgate.AD Gusano cuya propagación se realiza a través del envío masivo de correos utilizando la vulnerabilidad DCOM RPC que afecta a equipos Windows 2000/XP sin actualizar con el parche adecuado.
El 'Asunto' y el 'Anexo' del mensaje son variables, siendo la extensión de este último .bat, .exe, .pif, o .scr.
También es capaz de propagarse mediante unidades compartidas de red.
Infecta ficheros ejecutables, y puede actuar como puerta trasera, permitiendo el acceso remoto no autorizado al equipo atacado.
Nombre completo: Worm-Backdoor.W32/Lovgate.AD@MM
Tipo: [Worm-Backdoor] - 'Malware' con capacides de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Tamaño (bytes): 125440
Alias:W32.Lovgate.AD@mm (Symantec), W32/Lovgate.ah@MM (McAfee)
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4079Lovgate.AC Gusano que se difunde enviando correo masivamente, mediante la vulnerabilidad RPC DCOM que afecta a sistemas Windows 2000/XP sin el parche adecuado, y mediante carpetas compartidas de red de Microsoft y del programa de intercambio de ficheros Kazaa. El adjunto de los mensajes de correo tiene una extensión .bat, .exe, .pif o .scr.
Infecta ficheros ejecutables y permite acceso remoto no autorizado al PC infectado.
Nombre completo: Worm-Backdoor.W32/Lovgate.AC@MM
Tipo: [Worm-Backdoor] - 'Malware' con capacides de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Tamaño (bytes): 131072
Alias:W32.Lovgate.AC@mm (Symantec), W32/Lovgate.ai@MM (Kaspersky (viruslist.com)), W32/Lovgate.aj@MM (McAfee)
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4077Hacdef.b Troyano de puerta trasera que corre en sistemas Windows NT, 2000 y XP y utiliza elaboradas técnicas para dificultar su detección y eliminación.
Es capaz de evadir los cortafuegos dado que no abre un puerto contreto para recibir conexiones, sino que examina todo el tráfico de red que recibe el ordenador, donde puede recibir comandos.
Además, utiliza técnicas "furtivas", que permiten ocultar procesos, ficheros en disco y claves del registro.
Nombre completo: Backdoor.WNT/Hacdef.b
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [WNT] - Ejecutable PE (Portable Executable) que corre en Windows NT, 2000, XP, 2003
Tamaño (bytes): 70144
Alias:Backdoor.Hacdef.b (Kaspersky (viruslist.com))
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4078Rbot.DS Rbot.DS es un gusano de redes y un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC y que se extiende a través de unidades compartidas con contraseñas no seguras.
Nombre completo: Worm-Backdoor.W32/Rbot.DS@SMB
Tipo: [Worm-Backdoor] - 'Malware' con capacides de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [SMB] - Se difunde por carpetas compartidas de red de Microsoft
Alias:W32/Rbot-DS (Sophos)
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4082Cargao Troyano que envía correos electrónicos a todas las direcciones incluidas en la libreta de contactos de Windows.
Descarga y ejecuta ficheros de determinados sitios web.
Nombre completo: Trojan.W32/Cargao
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Trojan.Cargao (Symantec), Win32/Cargao.A (Enciclopedia Virus (Ontinent))
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4081Foron
Troyano que intenta obtener información del sistema infectado y enviarla a un atacante remoto.
Puede actuar como puerta trasera.
Se instala como un BHO (browser helper object - Objeto de ayuda del navegador).
Nombre completo: Trojan.W32/Foron
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 1234
Alias:Trojan.Foron (Symantec), Win32/Foron.A (Enciclopedia Virus (Ontinent))
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4080¡¡ A cuidarse de ellos, que el verano viene calentito !!
