« anterior próximo »
Páginas: [1]   Ir Abajo

Autor Tema: ¡Última hora! PROTORIDE G  (Leído 2061 veces)

Desconectado Danae

  • Iniciado
  • *****
  • Mensajes: 3211
  • Casi siempre en el armario.
    • windowsfacil, primeros pasos con windows y el pc
¡Última hora! PROTORIDE G
« en: 22 de Julio de 2004, 08:17:45 pm »
W32/Protoride.G. Se propaga por recursos compartidos
Nombre: W32/Protoride.G
Tipo: Gusano y Caballo de Troya de acceso remoto
Alias: Protoride.G, BackDoor.IRC.Cirilico, Backdoor.SDBot.Gen, Protoride.H, Sandbox: W32/Malware, Trojan.Protoride, W32.Protoride.Worm, W32/Protoride.B.worm, W32/Protoride.C.worm, W32/Protoride.F, W32/Protoride.J, W32/Protoride.worm, W32/Protoride-G, W32/Protoride-I, W32/Protori-Fam, Win32.Protoride.G, Win32.Protoride.I, Win32/HLLW.Protoride.G, Win32/Protoride.B.Worm, Win32/Protoride.G, Win32/Protoride.I.Worm, Win32/Protoride.N, Win32:Protoride-G [Wrm], Win32:Protoride-H [Wrm], Worm.Protoride.D, Worm.Protoride.G, Worm.Win32.Protoride.g, Worm.Win32.Protoride.j, Worm/Protoride.E.1, Worm/Protoride.G, Worm/Protoride.I, WORM_PROTORIDE.G
Fecha: 22/jul/04
Plataforma: Windows 32-bit
Tamaño: 65,024 bytes (UPX)

Se propaga a través de recursos compartidos en redes, intentando acceder a ellos utilizando diferentes nombres de usuario y contraseñas incluidos en su propio código. Posee capacidad de acceso remoto clandestino por puerta trasera (backdoor).

Si el acceso es exitoso, se copia en dichos equipos con el nombre de RDPTY.EXE.

Posee su propio cliente IRC (Internet Relay Chat), con el cuál intenta acceder a un determinado servidor de IRC. Una vez conectado a él, envía mensajes privados a un usuario remoto, notificándolo de su presencia, y queda a la espera de posibles comandos.

Los comandos disponibles están en español, y permiten acciones como el robo de información confidencial del usuario infectado, tales como contraseñas, nombres de usuario, etc.

El gusano intenta copiarse en los siguientes directorios, con el nombre de RDPTY.EXE, MSUPDATE.EXE o WINUPDATE.EXE:
\Documents and Settings\All Users\Kynnist-valikko\Ohjelmat\Kynnistys\
\Documents and Settings\All Users\Men Inicio\Programas\Inicio\
\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
\Documents and Settings\All Users\Menu Iniciar\Programas\Iniciar\
\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\
\Documents and Settings\All Users\Menu Start\Programy\Autostart\
\Documents and Settings\All Users\Menuen Start\Programmer\Start\
\Documents and Settings\All Users\Start Menu\Programlar\BASLANGI
\Documents and Settings\All Users\Start Menu\Programs\StartUp\
\Documents and Settings\All Users\Start-meny\Programmer\Oppstart\
\Documents and Settings\All Users\Start-menyn\Program\Autostart\
\Dokumente und Einstellungen\All Users\Startmen
\Programme\Autostart\
\WIN95\Kynnist-valikko\Ohjelmat\Kynnistys
              \Documents and Settings\All Users\Menu Dmarrer\Programmes\Dmarrage\
\WIN95\Menú Inicio\Programas\Inicio\
\WIN95\Menu Avvio\Programmi\Esecuzione automatica\
\WIN95\Menu Dmarrer\Programmes\Dmarrage\
\WIN95\Menu Iniciar\Programas\Iniciar\
\WIN95\Menu Start\Programma's\Opstarten\
\WIN95\Menu Start\Programy\Autostart\
\WIN95\Menuen Start\Programmer\Start\
\WIN95\MenuIniciar\Programas\Iniciar\
\WIN95\Start Menu\Programlar\BASLANGI
\WIN95\Start Menu\Programs\StartUp\
\WIN95\Startmen
\WIN95\Start-meny\Programmer\Oppstart\
\WIN95\Start-menyn\Program\Autostart\
\WIN98\Kynnist-valikko\Ohjelmat\Kynnistys\
\WIN98\Menú Inicio\Programas\Inicio\
\WIN98\Menu Avvio\Programmi\Esecuzione automatica\
\WIN98\Menu Dmarrer\Programmes\Dmarrage\
\WIN98\Menu Iniciar\Programas\Iniciar\
\WIN98\Menu Start\Programma's\Opstarten\
\WIN98\Menu Start\Programy\Autostart\
\WIN98\Menuen Start\Programmer\Start\
\WIN98\MenuIniciar\Programas\Iniciar\
\WIN98\Start Menu\Programlar\BASLANGI
\WIN98\Start Menu\Programs\StartUp\
\WIN98\Startmen
\WIN98\Start-meny\Programmer\Oppstart\
\WIN98\Start-menyn\Program\Autostart\
\WINDOWS.000\Menú Inicio\Programas\Inicio\
\WINDOWS.000\Menu Iniciar\Programas\Iniciar\
\WINDOWS.000\Start Menu\Programs\StartUp\
\WINDOWS.000\Startmen
\WINDOWS\Kynnist-valikko\Ohjelmat\Kynnistys\
\WINDOWS\Menú Inicio\Programas\Inicio\
\WINDOWS\Menu Avvio\Programmi\Esecuzione automatica\
\WINDOWS\Menu Dmarrer\Programmes\Dmarrage\
\WINDOWS\Menu Iniciar\Programas\Iniciar\
\WINDOWS\Menu Start\Programma's\Opstarten\
\WINDOWS\Menu Start\Programy\Autostart\
\WINDOWS\Menuen Start\Programmer\Start\
\WINDOWS\MenuIniciar\Programas\Iniciar\
\WINDOWS\Start Menu\Programlar\BASLANGI
\WINDOWS\Start Menu\Programs\StartUp\
\WINDOWS\Startmen
\WINDOWS\Start-meny\Programmer\Oppstart\
\WINDOWS\Start-menyn\Program\Autostart\
\WINME\Kynnist-valikko\Ohjelmat\Kynnistys\
\WINME\Menú Inicio\Programas\Inicio\
\WINME\Menu Avvio\Programmi\Esecuzione automatica\
\WINME\Menu Dmarrer\Programmes\Dmarrage\
\WINME\Menu Iniciar\Programas\Iniciar\
\WINME\Menu Start\Programma's\Opstarten\
\WINME\Menu Start\Programy\Autostart\
\WINME\Menuen Start\Programmer\Start\
\WINME\MenuIniciar\Programas\Iniciar\
\WINME\Start Menu\Programlar\BASLANGI
\WINME\Start Menu\Programs\StartUp\
\WINME\Startmen
\WINME\Start-meny\Programmer\Oppstart\
\WINME\Start-menyn\Program\Autostart\
También modifica la siguiente entrada en el registro para ejecutarse cada vez que se accede a un archivo .EXE:
HKCR\exefile\shell\open\command
(Predeterminado) = [camino y nombre del gusano] "%1" %*
También crea las siguientes entradas, la primera para autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"" = [camino y nombre del gusano]

HKLM\Software\BeyonD inDustries\ProtoType[v2 by R]
El gusano se propaga por redes locales, copiándose en todos los recursos compartidos con permisos de escritura disponibles. Si existen contraseñas, intenta con varios nombres de usuario y claves predeterminadas, disponibles en su código.

Utiliza su propio cliente IRC para conectarse al servidor "irc.terra.com.ar", donde crea un canal especial o una sala de chat. Luego envía un mensaje privado a un usuario determinado.

Cualquier usuario que tenga acceso al canal creado, puede ingresar a los equipos infectados, pudiendo realizar cualquiera de las siguientes acciones:
- Descargar y enviar archivos
- Enumerar cuentas de acceso telefónico
- Examinar direcciones IP
- Finalizar la ejecución del propio troyano
- Listar las conexiones TCP actuales
- Listar los procesos en ejecución
- Obtener información del sistema infectado
- Ocultar o mostrar ventanas de programas
- Realizar ataques de denegación de servicio (DoS)
- Realizar ataques flood con paquetes UDP
- Robar contraseñas
La información robada incluye lo siguiente:
- Cantidad de memoria instalada
- Contraseñas del sistema y de redes (usa API indocumentado)
- Datos de las cuentas de conexión telefónica
- Idioma del sistema operativo
- Lista de actuales sesiones de red
- Lista de procesos en ejecución
- Tipo y velocidad del procesador
- Versión instalada del sistema operativo
Puede realizar ataques de denegación de servicio (DoS) a los siguientes servidores de IRC:
BiTe.beztia.com.ar
BiTe.damaged.com.ar
BiTe.nightrun.com.ar
irc.terra.com.ar

Más información: http://www.vsantivirus.com/protoride-g.htm
En línea

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15348
    • https://www.daboblog.com
¡Última hora! PROTORIDE G
« Respuesta #1 en: 24 de Julio de 2004, 12:37:03 am »
ya sabeis, descativando netbios pero rapido

panel de control - conexiones de red - avanzadas - quitar la casilla de "compartir archivos e impresoras a traves de la red"

 :wink:
En línea
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; https://twitter.com/daboblog
Instagram: @daboblog


www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.davidhernandez
Páginas: [1]   Ir Arriba
« anterior próximo »
 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License
creative commons.