Troj/Windang.B. Sobrescribe archivos del disco duroNombre: Troj/Windang.B
Tipo: Caballo de Troya e infector de archivos
Alias: Windang.B, Win32:VB-1 [Trj], Worm/Darby.G.2, VB.G, Trojan.Win32.VB.gq, Trojan.Mejida, Generic, Trojan.Vb.Gq, Trojan Horse, Win32/VB.GQ, W32/Loulod.A.worm, PE_WINDANG.B, Trojan:Win32/VB.GQ, Troj/VB-EJ, Win32.VB.H, ~NEW_VIRUS, Trojan.VB.BK, PE_WINDANG.B-O
Fecha: 22/abr/04
Plataforma: Windows 32-bit
Tamaño: 49,152 bytes
Se trata de un troyano escrito en Visual Basic, que luego de ejecutarse, queda residente en memoria. Puede propagarse a través de disquetes.
Infecta todos los archivos .DOC del disco duro, agregando su código al comienzo de los mismos. Luego, cambia el nombre de los documentos infectados a .EXE.
Se copia a si mismo con el siguiente nombre y ubicación:
c:\windows\lsass.exe
Más información:
http://www.vsantivirus.com/troj-windang-b.htmTroj/Wallimage.A. Espía la actividad del usuarioNombre: Troj/Wallimage.A
Tipo: Caballo de Troya
Alias: Wallimage, Win32/Wallimage.A, TROJ_WALLIMAGE.A
Fecha: 6/jul/04
Plataforma: Windows 32-bit
Tamaño: 565,918 bytes
Caballo de Troya que espía toda la actividad del usuario infectado, cuando éste navega en Internet.
El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.
Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios.
Cuando se ejecuta, crea una carpeta llamada "8549" y se copia dentro de ella como TASKIMGR.EXE en la siguiente ubicación:
c:\windows\system\8549\taskimgr.exe
No importa la versión de Windows instalada, la ubicación mencionada se encuentra especificada en el código del troyano.
Crea la siguiente entrada para ejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WallPaper = c:\windows\system\8549\taskimgr.exe
También crea la siguiente clave, para almacenar información propia:
HKLM\Software\Tchltwo
Más información:
http://www.vsantivirus.com/troj-wallimage-a.htmWCE/Dust.A. El primer virus para PocketPCNombre: WCE/Dust.A
Tipo: Virus
Alias: Duts.1530, Dtus, WinCE.Duts.a, WinCE/Dust.A, WinCE4/Dust, Duts.1530.A, Duts.1520
Fecha: 17/jul/04
Plataforma: Windows CE
Tamaño: 1,520 bytes; 1,536 bytes
Se trata de un virus de 1,520 o 1,536 bytes, que infecta plataformas Windows CE .NET
Windows CE es el sistema operativo usado en dispositivos móviles de 32-bits. Soporta múltiples arquitecturas de CPU y opciones incluidas de comunicación y redes, y es utilizado en terminales Web, dispositivos de acceso a Internet, controladores industriales especializados, computadoras de bolsillo (Pocket PCs), etc.
El virus, infecta dispositivos ejecutándose en los siguientes sistemas operativos:
PocketPC 2000
PocketPC 2002
PocketPC 2003
Se trata de un programa compilado para procesadores ARM, y cuando se ejecuta, muestra el siguiente mensaje:
WinCE4.Dust by Ratter/29A
Dear User, am I allowed to spread?
[ Yes ] [ No ]
Si el usuario responde afirmativamente, el virus infecta todos los archivos con extensión .EXE que se encuentren en el directorio raíz de los dispositivos en los que se ejecute.
Se copia en la última sección del ejecutable, y cambia el header del archivo, para que la llamada de entrada apunte al comienzo del virus. Luego de su ejecución, le devuelve el control al programa original.
Para no volver a infectar archivos ya infectados, el virus examina si existe en determinado lugar no utilizado de la cabecera del .EXE, la cadena "atar", señal que utiliza como marca de infección.
Se trata de una prueba de concepto (POC), que demuestra la posibilidad de infectar dispositivos para la plataforma PocketPC.
El virus es del tipo parásito, agregándose él mismo al final de los archivos infectados.
En su código, contiene también el siguiente texto:
This is proof of concept code. Also, i wanted to make avers happy.The situation when Pocket PC antiviruses detect only EICAR file had to end ...
:
This code arose from the dust of Permutation City.
Los archivos infectados deben cumplir las siguientes condiciones:
- Estar compilados para el procesador ARM (ARM es una especificación de procesadores RISC, fabricado por Intel y otros, y utilizado en PocketsPC, etc.)
- Usar interfase gráfica Windows CE versión 4.0
- Poseer un tamaño menor a 4 Kb, y estar ubicados en el directorio raíz del dispositivo.
Los creadores de este virus (el grupo 29A), son los mismos del primer gusano para teléfonos móviles, el "Cabir".
El virus no se encuentra en la calle, y por lo tanto no existen reportes de infección. No es considerado un riesgo al momento actual, y su única probabilidad de propagación sería a través del intercambio de programas entre usuarios de PocketPC PDA.
Además de ello, el virus pide permiso para infectar al usuario (Dear User, am I allowed to spread?). Si la respuesta es "No", el virus no realiza ninguna otra acción.
Más información:
http://www.vsantivirus.com/dust-a.htm :lol:
