W32/Agist.A. El mensaje tiene un adjunto .ZIPNombre: W32/Agist.A
Tipo: Gusano de Internet
Alias: Agist, WORM_AGIST.A, Win32/Agist.A
Plataforma: Windows 32-bit
Tamaño: 14,245 bytes
Gusano que se propaga a través de mensajes electrónicos, cuyo texto es solo basura.
Utiliza su propio motor SMTP, por lo que no depende del cliente de correo instalado.
El nombre del adjunto es generado al azar, y siempre tiene extensión .ZIP.
Los mensajes tienen las siguientes características:
Asunto: [vacío]
Texto del mensaje: [basura y caracteres sin sentido]
Datos adjuntos: [nombre al azar].ZIP (19 Kb)
Cuando el usuario abre el archivo comprimido y hace doble clic sobre su contenido, el gusano crea una copia de si mismo en la carpeta System de Windows, con un nombre también al azar:
c:\windows\system\[nombre al azar].EXE
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
Para autoejecutarse en cada reinicio del sistema, en Windows 95, 98 y Me, modifica el archivo C:\WINDOWS\WIN.INI:
[windows]
load = c:\windows\system\[nombre al azar].EXE
En equipos con Windows NT, 2000 o XP, crea la siguiente entrada en el registro de Windows:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
load = c:\windows\system\[nombre al azar].EXE
Para propagarse, utiliza la configuración del servidor SMTP del usuario infectado. Las direcciones a las que se envía, son obtenidas de archivos con las siguientes extensiones:
.adb
.asp
.cfg
.cgi
.dbx
.eml
.htm
.html
.jsp
.log
.mbx
.mht
.msg
.nch
.ods
.php
.pl
.sht
.tbb
.txt
.uin
.vbs
.xml
El gusano está comprimido con un compresor desconocido. En su código, puede encontrarse el siguiente texto, que no es mostrado al usuario durante su ejecución:
spam
Against!
Revenge!
Más información:
http://www.vsantivirus.com/agist-a.htmW32/Bagle.AG. Se propaga por e-mail y P2PNombre: W32/Bagle.AG
Tipo: Gusano de Internet
Alias: Bagle.AG, I-Worm.Bagle.ag, W32.Beagle.AC@mm, W32/Bagle.AG.worm, W32/Bagle.ag@MM, Win32.Bagle.AC, Win32/Bagle.AG, WORM_BAGLE.AG
Plataforma: Windows 32-bit
Tamaño: 21,501 bytes; 24,158 bytes; 25,764 bytes (agrega basura para aumentar su tamaño)
Puertos: TCP/1080
Variante del Bagle (gusano escrito en Visual C), detectado el 18 de julio de 2004 y de gran propagación. Su código está basado en el código fuente distribuido por otras versiones del propio gusano.
Los adjuntos poseen extensiones .COM, .CPL, .EXE, .SCR o .ZIP, en éste último caso con contraseñas generadas al azar, la cuál se muestra al usuario en una imagen también adjunta. Esto pretende eludir la detección de los antivirus.
Además de propagarse a través del correo electrónico, lo hace por redes P2P, copiándose en carpetas utilizadas por varios de esos programas para compartir archivos con otros usuarios (KaZaa, Bearshare, Limewire, etc.)
Puede enviarse a todas las direcciones de correo obtenidas de diferentes archivos de la máquina infectada. En todos los casos el remitente que figura en el mensaje es falso.
Posee además un componente de acceso por puerta trasera (backdoor), y además finaliza la ejecución de varios antivirus y cortafuegos.
Los mensajes que utiliza para su propagación tienen las siguientes características:
De: [una dirección falsa]
Asunto: [uno de los siguientes]
Re_
Re:
[vacío]
Texto del mensaje: [uno de los siguientes]
Animals
foto3
fotogalary
fotoinfo
Lovely animals
Predators
Screen
The snake
Datos adjuntos: [uno de los siguientes]
Cat
Dog
Doll
Fish
foto1
foto2
foto3
Garry
Secret
Dicho nombre, puede tener alguna de las siguientes extensiones:
.com
.cpl
.exe
.scr
.zip [con contraseña]
Si el adjunto es un ZIP, está encriptado con una contraseña. En esos casos, el asunto del mensaje puede ser uno de los siguientes:
Key - [contraseña]
Pass - [contraseña]
Password: [contraseña]
Y el texto de los mensajes puede ser alguno de los siguientes:
- For security reasons attached file is password
protected. The password is [contraseña]
- For security purposes the attached file is
password protected. Password -- [contraseña]
- Note: Use password [contraseña] to open archive.
- Attached file is protected with the password for
security reasons. Password is [contraseña]
- In order to read the attach you have to use the
following password: [contraseña]
- Archive password: [contraseña]
- Password - [contraseña]
- Password: [contraseña]
Donde [contraseña] es una imagen JPEG insertada, o un texto que muestra un número de cinco dígitos.
El gusano cambia el tipo de archivo del adjunto, de acuerdo a la extensión. Por ejemplo, si el archivo tiene extensión .VBS, el adjunto es creado como un script de Visual Basic que genera al gusano, un archivo ejecutable de Win32. Por ello, existen tres formatos para el "dropper" del gusano, Visual Basic Script, HTML, y aplicación del Panel de control (.CPL).
En el caso de un adjunto .ZIP, el archivo contenido dentro del mismo, posee un nombre generado al azar de 5 a 9 caracteres con extensión .EXE. También contiene un segundo archivo conteniendo solo basura, con nombre al azar y alguna de las siguientes extensiones:
.cfg
.def
.dll
.ini
.txt
.vxd
Cuando se ejecuta, crea los siguiente archivos en la carpeta System de Windows:
c:\windows\system\sys_xp.exe
c:\windows\system\sys_xp.exeopen
c:\windows\system\sys_xp.exeopenopen
También puede llegar a copiar el siguiente archivo:
c:\windows\cplstub.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
Crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
key = c:\windows\system\sys_xp.exe
Crea también la siguiente entrada para almacenar valores de su configuración actual:
HKCU\Software\DateTime
Más información:
http://www.vsantivirus.com/bagle-ag.htmW32/Bagle.AH. Se propaga por e-mail y P2PNombre: W32/Bagle.AH
Tipo: Gusano de Internet
Alias: Bagle.AH, I-Worm.Bagle.ah, W32.Beagle.AD@mm, W32/Bagle.AH.worm, W32/Bagle.ah@MM, Win32.Bagle.AD, Win32/Bagle.AH, WORM_BAGLE.AH, ZIP.Bagle, I-Worm.Bagle.ag, W32/Bagle.AH@mm
Plataforma: Windows 32-bit
Tamaño: 16,896 bytes (agrega basura para aumentar su tamaño)
Puertos: TCP/1234
Variante recomprimida con la utilidad UPX del Bagle.AD, detectada el 18 de julio de 2004.
Gusano escrito en Visual C, que se propaga por correo electrónico, en adjuntos que poseen extensiones .COM, .CPL, .EXE, .HTA, .SCR, .VBS, o .ZIP, en éste último caso con contraseñas generadas al azar, la cuál se muestra al usuario en una imagen también adjunta. Esto pretende eludir la detección de los antivirus.
También intenta propagarse por redes P2P, copiándose en carpetas utilizadas por varios de esos programas para compartir archivos con otros usuarios (KaZaa, Bearshare, Limewire, etc.)
Utiliza varios mutex para prevenir que el gusano W32/Netsky y sus variantes, puedan ejecutarse.
El gusano agrega su propio código fuente en assembler, encriptado en su interior. Esto puede facilitar la aparición de nuevas variantes.
Puede enviarse a todas las direcciones de correo obtenidas de diferentes archivos de la máquina infectada. En todos los casos el remitente que figura en el mensaje es falso.
Posee además un componente de acceso por puerta trasera (backdoor), y además finaliza la ejecución de varios antivirus y cortafuegos.
Cuando se ejecuta por primera vez, muestra un mensaje de error falso:
Error!
Can't find a viewer associated with the file
[ Aceptar ]
Los mensajes que utiliza para su propagación tienen las siguientes características:
De: [una dirección falsa]
Asunto: [uno de los siguientes]
- Changes..
- Encrypted document
- Fax Message Received
- Forum notify
- Hidden message
- Incoming message
- New changes
- Notification
- Protected message
- Re: Document
- Re: Hello
- Re: Hi
- Re: Incoming Message
- RE: Incoming Msg
- RE: Message Notify
- Re: Msg reply
- RE: Protected message
- RE: Text message
- Re: Thank you!
- Re: Thanks (aquí van:y ))
- Re: Yahoo!
- Site changes
Datos adjuntos: [uno de los siguientes]
Information
Details
text_document
Updates
Readme
Document
Info
Details
MoreInfo
Message
Dicho nombre, puede tener alguna de las siguientes extensiones:
.com
.cpl
.exe
.hta
.scr
.vbs
.zip [con contraseña]
Si el adjunto es un ZIP, está encriptado con una contraseña. En esos casos, el texto del mensaje puede ser alguno de los siguientes:
- For security reasons attached file is password
protected. The password is [contraseña]
- For security purposes the attached file is
password protected. Password -- [contraseña]
- Note: Use password [contraseña] to open archive.
- Attached file is protected with the password for
security reasons. Password is [contraseña]
- In order to read the attach you have to use the
following password: [contraseña]
- Archive password: [contraseña]
- Password - [contraseña]
- Password: [contraseña]
Donde [contraseña] es una imagen JPEG insertada, o un texto que muestra un número de cinco dígitos.
Si el adjunto no es un .ZIP, el texto del mensaje puede ser uno de los siguientes:
- Attach tells everything.
- Attached file tells everything.
- Check attached file for details.
- Check attached file.
- Here is the file.
- Message is in attach
- More info is in attach
- Pay attention at the attach.
- Please, have a look at the attached file.
- Please, read the document.
- Read the attach
- See attach.
- See the attached file for details.
- Your document is attached.
- Your file is attached..
El gusano cambia el tipo de archivo del adjunto, de acuerdo a la extensión. Por ejemplo, si el archivo tiene extensión .VBS, el adjunto es creado como un script de Visual Basic que genera al gusano, un archivo ejecutable de Win32. Por ello, existen tres formatos para el "dropper" del gusano, Visual Basic Script, HTML, y aplicación del Panel de control (.CPL).
En el caso de un adjunto .ZIP, el archivo contenido dentro del mismo, posee un nombre generado al azar de 5 a 9 caracteres y extensión .EXE.
El archivo .ZIP puede también contener un archivo adicional (generalmente un archivo limpio, sin infección), con datos al azar, y un nombre también al azar, generalmente con la extensión .BAT, .DLL, .DOC, .TXT o .VXD.
Cuando se ejecuta, el gusano examina si la fecha actual es 25 de enero de 2005 o superior. Si lo es, finaliza su acción. En caso contrario, crea los siguiente archivos en la carpeta System de Windows:
c:\windows\system\loader_name.exe
c:\windows\system\loader_name.exeopen
c:\windows\system\loader_name.exeopenopen
Más información:
http://www.vsantivirus.com/bagle-ah.htmTroj/Sconato.A. Roba información confidencialNombre: Troj/Sconato.A
Tipo: Caballo de Troya
Alias: Sconato, Troj/Sconato-A, Win32/Sconato.A
Plataforma: Windows 32-bit
Caballo de Troya con acceso por puerta trasera (backdoor), capaz de robar información confidencial de los equipos infectados.
Cuando el troyano se ejecuta, crea los siguientes archivos:
c:\windows\system\sysconnect.dll
c:\windows\system\winmgmt.dll
\TEMP\nato.doc
NOTA 1: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
NOTA 2: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.
El troyano despliega luego el contenido de NATO.DOC, que es un texto con el siguiente título:
NATO, Iraq and the German-American Waltz
Para autoejecutarse en cada sesión de Windows, crea las siguientes entradas en el registro:
HKLM\SOFTWARE\CLASSES\CLSID
\{????????-????-????-????-????????????}\InprocServer32
(Predeterminado) = c:\windows\system\sysconnect.dll
ThreadingModel = Apartment
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\Installer\InstallerParameters
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\ShellServiceObjectDelayLoad
SysConnect = {????????-????-????-????-????????????}
Donde {??????-????-????-????-????????????} es un identificador de clase único (CLSID), un valor de 128 bits generado por el troyano.
Se apunta la subclave "InprocServer32" a la librería del troyano para ponerla en funcionamiento cuando se ejecuta un evento determinado. El valor "ThreadingModel" con el dato "Apartment", indica que el objeto solo puede ejecutar un solo hilo.
Luego se suplantan valores predeterminados de Windows por una llamada a la Class ID creada por el troyano.
El troyano monitorea la salida del teclado, y captura todas las pulsaciones ingresadas por el usuario infectado. Luego envía los datos obtenidos y otra información del sistema, a una dirección de correo en Rusia. Por la puerta trasera instalada, también recibe un mensaje desde dicha dirección.
Más información:
http://www.vsantivirus.com/troj-sconato-a.htmAtak. Gusano típico de envío masivo de correo. Se adjunta a los mensajes que envía como un archivo .zip o .exe.
Nombre completo: Worm.W32/Atak.C@MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Alias:Win32.Atak.C@mm (Bit Defender)
Síntomas
La clave del registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
contiene un valor "load" que apunta a "%SYSDIR%\a7aa.exe
El fichero win.ini tiene tiene la entrada:
load=%SYSDIR%\a7aa.EXE
donde %SYSDIR% representa el directorio de sistema de Windows, normalmente C:\WINDOWS\System32 en Windows XP.
Instalación y difusión
Cuando es ejecutado intenta crear un mutex con el nombre del usuario que tiene iniciada la sesión en ese momento para evitar que varios procesos corran simultaneamente.
Entonces comprueba la hora del sistema se válida y si el proceso está siendo depurado termina su ejecución.
A continuación el gusano se instala copiándose en %SYSDIR% con el nombre a7aa.exe, y modifica la siguiente clave del registro para ser ejecutado durante el arranque del sistema:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
load= %SYSDIR%\a7aa.EXE
A continuación el gusano busca direcciones de correo electrónico en ficheros con extensiones:
.pl .adb .tbb .html .xml .cfg .vbs .msg .dbx .uin .jsp .asp .cgi .php .sht .mht .ods .log .htm .mbx .nch .eml
Envía un mensaje con las siguientes características a todas las direcciones encontradas:
Remitente: [falsificado]
Asunto: [uno de los siguientes]
Against!
Revenge!
Cuerpo:
This is a multi-part message in MIME format.
Adjunto: Puede ser un fichero .exe o un .zip contieniendo un .exe con nombres aleatorios
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4090Dust Virus que infecta plataformas Windows CE .NET. Su tamaño es de 1,520 o 1,536 bytes.
Nombre completo: Virus.WinCE/Dust
Tipo: [Virus] - Virus Genérico, normalmente se propaga infectando archivos ejecutables.
Plataforma: [WinCE] - Sistemas operativos de Microsoft para dispositivos portátiles, como PDAs o teléfonos
Tamaño (bytes): 1536
Alias:WINCE/DUST.A (Enciclopedia Virus (Ontinent)), Duts.1530 (Panda Software), WinCE.Duts.A (Symantec), WinCE/Duts.1536 (McAfee), WinCE.Dust.A (Bit Defender)
El virus infecta dispositivos ejecutándose en los siguientes sistemas operativos:
PocketPC 2000
PocketPC 2002
PocketPC 2003
Windows CE es el sistema operativo usado en dispositivos móviles de 32-bits. Es utilizado en terminales Web, dispositivos de acceso a Internet, controladores industriales especializados, computadoras de bolsillo (Pocket PCs), etc.
Es un programa compilado para procesadores ARM, cuando es ejecutado, muestra el siguiente mensaje:
WinCE4.Dust by Ratter/29A
Dear User, am I allowed to spread?
[ Yes ] [ No ]
Si el usuario responde afirmativamente la pregunta, el virus comienza su a infectar todos los archivos ".EXE" que se encuentren en el directorio raíz.
Se copia en la última sección del ejecutable, y cambia la cabecera del archivo, para que la llamada de entrada apunte al comienzo del virus. Después de ejecutarse le devuelve el control al programa original.
Para no volver a infectar archivos que ya fueron infectados examina si existe en determinado lugar no utilizado de la cabecera del .EXE, la cadena "atar".
Se trata de una prueba de concepto (POC), que demuestra la posibilidad de infectar dispositivos para la plataforma PocketPC.
El virus es del tipo parásito, agregándose él mismo al final de todos los archivos infectados.
En su código se encuentra el siguiente texto:
This is proof of concept code. Also, i wanted to make
avers happy.The situation when Pocket PC antiviruses
detect only EICAR file had to end ...
:
This code arose from the dust of Permutation City.
Los archivos infectados deben cumplir las siguientes condiciones:
Estar compilados para el procesador ARM.*
Usar interfase gráfica Windows CE versión 4.0
Poseer un tamaño menor a 4 Kb, y estar ubicados en el directorio raíz del dispositivo.
* ARM es una especificación de procesadores RISC, fabricado por Intel y otros, y utilizado en PocketsPC, etc.
Los creadores de este virus son los mismos del primer gusano para teléfonos móviles.
El virus no se encuentra en la calle, y por lo tanto no existen reportes de infección. Su única probabilidad de propagación sería a través del intercambio de programas entre usuarios.
El virus pide permiso para infectar al usuario, si la respuesta es "No", este no realiza ninguna otra acción.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4088
