Back/Hackarmy.I. Troyano de acceso remotoNombre: Back/Hackarmy.I
Tipo: Caballo de Troya
Alias: Back/Amasso.A, BKDR_AMASSO.A, Win32/Amasso.A, Troj/Amasso.A, Troj/Hackarmy-A, Backdoor.Hackarmy.i
Plataforma: Windows 32-bit
Tamaño: 18,976 bytes (UPX)
Este troyano, escrito en C++ y comprimido con UPX, crea un proxy IRC en la máquina infectada, y abre una puerta trasera (backdoor), que permite a un atacante remoto tomar el control del equipo infectado.
Fue enviado en forma masiva a varios grupos de noticias en un mensaje con el asunto "Osama Found Hanged", intentando despertar la curiosidad sobre el supuesto suicidio de Osama Bin Laden.
El troyano no posee rutinas de propagación propias, sin embargo ganó notoriedad pública el 23 de julio, cuando fue distribuido en un mensaje con las siguientes características:
Asunto: Osama Found Hanged
Texto del mensaje:
Osama Bin Ladin was found hanged by two CNN journalists early Wedensday evening. As evidence they took several photos, some of which i have included here. As yet, this information has not hit the headlines due to Bush wanting confirmation of his identity but the journalists have released some early photos over the internet..
Dentro del texto del mensaje se incluye un enlace a una ubicación remota, desde donde se descarga el siguiente archivo:
OsamaFoundDead.zip
La infección ocurre si el usuario descarga y abre el contenido del .ZIP.
Cuando se ejecuta, crea alguno de los siguientes archivos:
c:\windows\system\zonelockup.exe
c:\windows\system\win32server.scr
c:\windows\system\win32server.exe
Más información:
http://www.vsantivirus.com/back-hackarmy-i.htmW32/Gift.B. Muestra mensaje "File data corrupt:"Nombre: W32/Gift.B
Tipo: Gusano de Internet
Alias: I-Worm.Gift.b, I-Worm.Gift.B, TR/IWorm.MP.Virus, W32.Gift.32768, W32/Anaphyla-B2, W32/Gift.32768, W32/Gift.b, W32/Gift@MM, W32/Gift-B, W32/HLLC.A@mm, Win32.Gift.32768, Win32.Gift.32768.C, Win32.Gift.B@mm, Win32.HLLM.Gift.32768, Win32/Gift.A@mm, Win32/Gift.B, Win32/IRCBot.Worm, Win32/Rundllw32.Worm, Win32:Anaphyla [Wrm], Worm.Gift.B, WORM_GIFT.B
Plataforma: Windows 32-bit
Tamaño: 32,768 bytes
Gusano que se envía en forma masiva vía correo electrónico.
Cuando se ejecuta, el gusano examina si ya está instalado en el sistema actual. Si no lo está, muestra una ventana con el siguiente mensaje:
Install error
File data corrupt:
probably due to bad data transmission or bad disk access.
[ OK ]
Se copia en la siguiente ubicación:
c:\windows\rundllw32.exe
Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\
RUN = c:\windows\rundllw32.exe
En Windows 95, 98 y Me, modifica el archivo C:\WINDOWS\WIN.INI:
[windows]
run = c:\windows\rundllw32.exe
El gusano escanea archivos en la carpeta de "Mis documentos" y la actual, usando como filtro los comodines ".HT*" y "*.ASP", para obtener direcciones electrónicas a las cuáles enviarse.
Utiliza funciones MAPI (Messaging Application Programming Interface), para gestionar el envío de los mensajes. Estos varían en cada computadora infectada,
Más información:
http://www.vsantivirus.com/gift-b.htmW97/Seliuq.C. Muestra mensajes obscenosNombre: W97/Seliuq.C
Tipo: Virus de Macro de Word
Alias: Seliuq.C, W97M.Seliuq.D, MW97:Seliuq family, W97M/Seliuq.B, W97M/Seliuq, Macro.Word97.Seliuq.c, W97M.Seliuq.A, W97M.Assilem, W97M/Seliuq.D, W97M/Assilem.g.gen, W97M.Seliuq.A, W97M/Seliuq.C, W97M.Seliuq.C, ~NEW_VIRUS, W97M/Seliuq.D, W97M/Seliuq.A, W97M_SELIUQ.C, W97M/Seliuq.C, WM97/Seliuq-A, Word97Macro/Seliuq.D, W97M/Seliq.A, WORD.97.Seliuq.C
Plataforma: Windows 32-bit
Tamaño: 1 módulo
Virus de macros que infecta documentos y plantillas de Microsoft Word.
Cuando un documento infectado es abierto, el virus borra los macros existentes.
Cuando el documento es cerrado, el virus deshabilita el icono del editor de macros ("Herramientas", "Macro", "Editor de Visual Basic").
También deshabilita la opción "Protección antivirus en macros".
Luego infecta la plantilla por defecto de Word (NORMAL.DOT), y todos los documentos activos en ese momento.
Una de cada 10 veces, y si la fecha actual está entre los días 9 y 15 de cualquier mes, puede mostrar uno de los siguientes mensajes, según la configuración de país de la computadora infectada.
Si la configuración del país es Argentina, Chile, Latinoamérica, México, Perú, España, o Venezuela, muestra uno de estos mensajes:
Me c*go en tu m*dre
Eres una P*ta
P*rra arr*bal*ra
J*dete c*m*pinga
So c*lo r*to
Est* es para que *prendas. Ch*lo de V*eja
So M*ric?
Que p*erco eres, c*rdo, m*rrano!!!
Que m*mal*na eres
Eres un p*j*so
Si la configuración del país es otro, muestra uno de los siguientes:
F*ck you
B*tch
M*therF*cker
F*ck you as*h*le
A*sh*le
B*stard
D*c Head
You are a P*G!!!
You L*mer
M*ron
Como sacar el virus de un sistema infectado
Ejecute uno o más antivirus actualizados. Recomendamos el uso de F-Macrow, antivirus de F-Prot solo para virus macros, gratuito para uso personal, y que se actualiza con MACRO.DEF (MACRDEF2.ZIP).
Programa y actualización pueden ser descargados desde:
http://www.vsantivirus.com/f-prot.htmMás información:
http://www.vsantivirus.com/seliuq-c.htm
Mitglieder.N Troyano que ha sido reportado por usuarios infectados con el alguna de las variantes del gusano Bagle. Dicho gusano descarga y ejecuta a este troyano luego de infectar un equipo.
Nombre completo: Trojan.W32/Mitglieder.N
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Win32/TrojanProxy.Mitglieder.NAD (Enciclopedia Virus (Ontinent)), Troj/Mitglieder.N (Enciclopedia Virus (Ontinent))
Cuando se ejecuta, crea los siguientes archivos:
c:\windows\system\system.exe
c:\windows\system\iinj4.exe
c:\windows\system\irun4.exe
De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
Para ejecutarse en cada inicio del sistema crea la siguiente entrada en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
ssgrate.exe = c:\windows\system\irun4.exe
También crea la siguiente clave:
HKCU\Software\DateTime
El troyano se inyecta en el proceso del EXPLORER, quedando oculto en la lista de procesos.
Intenta conectarse a diferentes sitios de Alemania y Rusia para funcionar como repetidor de correo electrónico enviando spam.
Abre Los siguientes puertos en las máquinas infectadas:
TCP 15551
UDP 1044
El tamaño del troyano puede ser de 18,432 bytes o 58,368 bytes
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4108Ranky.AJ Troyano que libera otros malwares, trata de abrir puertos en el equipo infectado, comprometiendo el equipo.
Nombre completo: Trojan.W32/Ranky.AJ
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Win32/TrojanProxy.Ranky.AJ (Enciclopedia Virus (Ontinent))
Detalles
Cuando se ejecuta crea una copia del troyano Ranky.AK además libera otro malware. Para ejecutarse en cada inicio del sistema crea las siguientes claves en el registro de Windows:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices
msmsgrs = C:\Windows\System\fqeve.exe
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
msmsgrs = C:\Windows\System\fqeve.exe
De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
El troyano intenta abrir ciertos puertos en el equipo infectado dejándolo vulnerable a cualquier ataque.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4106Ranky.AK Troyano residente en memoria, abre puertos al azar en espera de comandos remotos. Es liberado por otro troyano.
Nombre completo: Trojan.W32/Ranky.AK
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Win32/TrojanProxy.Ranky.AK (Enciclopedia Virus (Ontinent)), TROJ_RANKY.R (Trend Micro)
Detalles
Cuando se ejecuta permanece residente en memoria, abre puertos aleatoriamente, un atacante externo puede utilizar dichos puertos para ejecutar comandos en el equipo infectado.
Este virus es liberado por el troyano Win32/TrojanProxy.Ranky.AJ.
Para ejecutarse en cada inicio del sistema crea la siguiente clave en el registro de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
msmsgrs = [camino y nombre del malware]\fqeve.exe
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4107
