W32/Bagle.AF. Se propaga por e-mail y P2PNombre: W32/Bagle.AF
Tipo: Gusano de Internet
Alias: Bagle.AF, Win32.Bagle.AB, I-Worm.Bagle.af, WORM_BAGLE.AF, W32/Bagle.af@MM, W32.Bagle.AB@mm
Fecha: 15/jul/04
Plataforma: Windows 32-bit
Tamaño: 19,984; 31,236 (agrega basura para aumentar su tamaño)
Puertos: TCP/1080, UDP/1079
Variante del Bagle (gusano escrito en Visual C), detectado el 15 de julio de 2004 y de gran propagación. Su código está basado en el código fuente distribuido por otras versiones del propio gusano.
Los adjuntos poseen extensiones .COM, .CPL, .EXE, .HTA, .SCR, .VBS, o .ZIP, en éste último caso con contraseñas generadas al azar, la cuál se muestra al usuario en una imagen también adjunta. Esto pretende eludir la detección de los antivirus.
Además de propagarse a través del correo electrónico, lo hace por redes P2P, copiándose en carpetas utilizadas por varios de esos programas para compartir archivos con otros usuarios (KaZaa, Bearshare, Limewire, etc.)
Puede enviarse a todas las direcciones de correo obtenidas de diferentes archivos de la máquina infectada. En todos los casos el remitente que figura en el mensaje es falso.
Posee además un componente de acceso por puerta trasera (backdoor), y además finaliza la ejecución de varios antivirus y cortafuegos.
Más información:
http://www.vsantivirus.com/bagle-af.htmW32/Atak.B. Detiene la ejecución de antivirusNombre: W32/Atak.B
Tipo: Gusano de Internet
Alias: Atak.B, W32/Atak.B.worm, Win32/Atak.B, I-Worm.Atak.b
Fecha: 15/jul/04
Plataforma: Windows 32-bit
Tamaño: 29,149 bytes (FSG)
Este gusano, escrito en Visual C++ 5.0, se propaga por correo electrónico, a través de mensajes con las siguientes características:
De: [usuario]
Donde [usuario] puede ser una dirección falsa, o uno de muchos nombres (consultar en el link)
Asunto: [vacío]
Texto del mensaje: [uno de los siguientes]
Because of our services are not configured properly. We
have converted your message as an attachment. Please
download the file to read.
Don't get wrong anymore! Hope the files is right!
Have you read the file in the attachment?
Here it is my response. Please reply back if got an idea.
Hope this is not a wrong file as you told me.
If you found this email with an attachment please refer to the email attachment in order to read the sender email.
If you want to see this video please open this URL withyour favorite media player such as WinAmp or Windows Media Player.
"
http://--.---.-.---/stevemitton.com/iraq2vediom.wmv".
If there is fail please download it from your email attachment.
Thanks for watching.
Please note that your message has been converted to an attachment. Please refer to the attachment in order to read the file.
Sorry, I'm late yesterday. But please read the file first! I really need your help!
The previous file i have sended to you before are not correct. So, this is the correct file.
You have received this email with an email attachment. Please refer to your email attachment if you want to read the message.
Datos adjuntos: [nombre]+[1]+[2]+[3]
Donde [nombre] es un nombre al azar, y [1], es una de la siguientes extensiones:
.avi
.gif
.htm
.jpg
.mov
.mpg
.txt
[2] representa cierta cantidad de espacios vacíos (eso oculta la verdadera extensión en la ventana usada), y [3] es una de las siguientes extensiones:
.bat
.com
.exe
.pif
.scr
La infección se produce solo cuando el usuario ejecuta el adjunto recibido. En ese caso, se crea el siguiente archivo:
c:\windows\system\svrhost.exe (observése que el verdadero de windows es svchost.exe, es decir se ha cambiado la c por una r)
Más información:
http://www.vsantivirus.com/atak-b.htmDoster Troyano que intenta abrir una puerta trasera en el equipo infectado para dar acceso ilícito al sistema a un atacante remoto.
Además, modifica el fichero 'Hosts', lo que deshabilita el acceso a varios sitios web.
Nombre completo: Backdoor.W32/Doster
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Backdoor.Doster (Symantec)
Cuando Backdoor.W32/Doster es ejecutado, realiza las siguientes acciones:
Crea el fichero %Windir%\hosts.
Si este fichero ya existe en esa ubicación, que es su lugar por defecto en Windows 95/98/Me, el troyano sobreescribirá el fichero existente.
%Windir% es variable. Por defecto es C:\Windows o C:\Winnt.
Localiza el fichero Hosts en caso de que no este en el directorio %Windir%, y lo sobreescribe con el fichero antes citado.
Esto provoca que cualquier tráfico dirigido a las direcciones más comunes, sea redirigido al equipo local, impidiéndo así el acceso a esos sitios web.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4084Agobot.KN Variante de la familia de gusanos con capacidad de puerta trasera Agobot/Gaobot. Permite el acceso no autorizado al equipo infectado a través de canales IRC, y es capaz de extenderse a equipos de red con contraseñas no seguras.
Nombre completo: Worm-Backdoor.W32/Agobot.KN@RPC
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [RPC] - Se propaga usando el protocolo RPC - Remote Procedure Call (típicamente aprovechando una vulnerabilidad en una implementación del protocolo)
Alias:W32/Agobot-KN (Sophos)
Al ejecutarse por primera vez, Agobot.KN se copia en la carpeta System de Windows con el nombre RUNDLL.EXE o WIN.EXE y crea las siguientes entradas en el registro para activarse en el inicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
RegistryConfig = rundll.exe
Windows32 = win.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
RegistryConfig = rundll.exe
Windows32 = win.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
RegistryConfig = rundll.exe
Windows32 = win.exe
Puede enviarse a todas las direcciones almacenadas en la libreta de direcciones de Windows utilizando su propio programa de correo SMTP.
Agobot.KN intentará terminar diferentes procesos relacionados con productos antivirus y de seguridad, así como procesos relacionados con otros virus, gusanos o troyanos
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4083
