Back/Afcore.AJ. Monitorea sitios visitadosNombre: Back/Afcore.AJ
Tipo: Caballo de Troya de acceso remoto
Alias: BKDR_AFCORE.M, CoreFlood.dll, Backdoor.Afcore.aj, W32/Aproxd.J, BackDoor.Afcore.BN, Win32/Afcore.AJ
Plataforma: Windows 32-bit
Tamaño: 157,696 bytes
Este troyano se presenta como un archivo .DLL, y puede ser descargado de sitios maliciosos, o enviado en forma premeditada por otro malware.
No se ejecuta por si mismo, y debe ser lanzado por otro programa para ejecutarse.
Cuando se ejecuta, crea cuatro archivos .DAT con nombres al azar, en los que almacena información que obtiene del sistema infectado.
El troyano modifica el registro de Windows para instalarse como un monitor de sitios Web visitados por el usuario.
Para ello, el DLL se integra al Internet Explorer como un objeto del tipo BHO (Browser Helper Object). Un objeto BHO se adjunta a si mismo a cada nueva instancia del Internet Explorer, pudiendo ejecutar eventos predeterminados y tomando el control del navegador.
Para lograr ese objetivo, las siguientes entradas son creadas:
HKCR\CLSID
\{51508152-55A9-EE33-C720-BE4896723F4B}
HKCR\CLSID
\{8BF1632C-8620-20BF-57F5-5A7C9F8AA290}
HKLM\Software\Microsoft\Windows\CurrentVersion
\explorer\ShellIconOverlayIdentifiers\msoerc2
HKLM\Software\Microsoft\Windows
\CurrentVersion\explorer\Browser Helper Objects
\{8BF1632C-8620-20BF-57F5-5A7C9F8AA290}
Todos los sitios visitados y otras acciones realizadas por la víctima desde el navegador, son registrados por el troyano. Esto incluye ingreso de contraseñas, transacciones con sitios de comercio electrónico, datos de tarjetas de crédito, etc.
El troyano crea una puerta trasera, y queda a la escucha por varios puertos seleccionados al azar. Si un cliente externo logra conectarse por dichos puertos, un usuario remoto podrá realizar severas modificaciones en el sistema infectado, además de obtener la información robada por el troyano.
Algunas de las acciones posibles:
- Crear, listar y borrar cookies
- Desinstalarse a si mismo
- Obtener información del software y hardware instalado
- Registrar paquetes transmitidos (sniffer)
- Reiniciar Windows
- Usar la PC infectada en ataques DoS a determinados blancos
Más información:
http://www.vsantivirus.com/back-afcore-aj.htmW32/Lovgate.AK. Se propaga por e-mail. Infecta .EXENombre: W32/Lovgate.AK
Tipo: Gusano de Internet
Alias: Lovgate.AK, PE_LOVGATE.AC-O, W32/Lovgate.ac@MM, W32.Lovgate.X@mm, I-Worm.LovGate.ad
Plataforma: Windows 32-bit
Tamaño: 143,360 bytes (ASPack)
Puerto: TCP al azar
Gusano que se propaga masivamente por correo electrónico, y recursos compartidos en redes.
Esta variante es similar a W32/Lovgate.AH.
La máquina infectada puede ser accedida por un atacante a través de una puerta trasera instalada por el gusano.
Es capaz de infectar archivos .EXE.
Los mensajes infectados pueden tener adjuntos con extensiones .COM, .EXE, .PIF, .RAR, o .SCR. El mensaje también puede ser la respuesta a un mensaje enviado anteriormente a un usuario que ahora ha sido infectado (no abra adjuntos de usuarios conocidos sin haber confirmado con el remitente su envío, podría ser una respuesta automática del gusano a uno de sus mensajes, en un mensaje infectado).
Utiliza su propio motor SMTP para enviarse a todos los contactos de la libreta de direcciones de Windows y del Outlook, y a todas las direcciones que extrae de archivos con las siguientes extensiones (de los discos duros del C al Y inclusive):
.adb
.asp
.dbx
.htm
.php
.sht
.tbb
.wab
Detalles de los mensajes:
De: [remitente falso]
Asunto: [uno de los siguientes]
Error
hello
hi
Mail Delivery System
Mail Transaction Failed
Server Report
Status
test
Texto del mensaje: [uno de los siguientes]
- It's the long-awaited film version of the Broadway hit.
The message sent as a binary attachment.
- Mail failed. For further assistance, please contact!
- pass
- The message contains Unicode characters and has been sent
as a binary attachment.
Datos adjuntos: [nombre al azar con alguna de las siguientes extensiones]
.com
.exe
.pif
.rar
.scr
También se envía como respuesta a mensajes no leídos encontrados en la bandeja de entrada del Outlook, Outlook Express y otros clientes de correo compatibles.
Detalles del mensaje: (ver link)
Más información:
http://www.vsantivirus.com/lovgate-ak.htmSpybot.CZ Spybot.CZ es un gusano de redes y un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC.
Nombre completo: Worm-Backdoor.W32/Spybot.CZ
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:W32/Spybot-CZ (Sophos)
Detalles
Spybot.CZ se copia en la carpeta System de Windows con el nombre DLL32SYS.EXE y crea las siguientes entradas en el registro para activarse en el inicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
System32Dll = DLL32SYS.EXE
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
System32Dll = DLL32SYS.EXE
Spybot.CZ conecta con un servidor IRC en un canal específico donde aguardará los comandos del atacante.
Spybot.CZ intentará terminar diferentes procesos relacionados con productos antivirus y de seguridad, así como registrar las pulsaciones del teclado y robar contraseñas.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4113Gift.B Gusano que se envía en forma masiva vía utilizando el correo electrónico a direcciones recopiladas de ficheros del equipo.
Modifica el registro de Windows y el fichero Win.ini para ejecutarse automáticamente cada vez que el sistema sea reiniciado.
Nombre completo: Worm.W32/Gift.B@MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Tamaño (bytes): 32768
Alias:Win32/Gift.B (Enciclopedia Virus (Ontinent)), I-Worm.Gift.b (Kaspersky (viruslist.com))
Detalles
Cuando es ejecutado, Worm.W32/Gift.B@MM realiza las siguientes acciones:
En primer lugar, comprueba si ya está instalado en el sistema.
Si no lo está, muestra en la pantalla una ventana con el siguiente mensaje:
Install error
File data corrupt:
probably due to bad data transmission or bad disk access.
Se copia a sí mismo en c:\windows\rundllw32.exe.
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\
Valor: RUN = c:\windows\rundllw32.exe
En sistemas con Windows 95/98/Me, con el propósito de ejecutarse automáticamente al reiniciar el equipo, modifica el fichero C:\Windows\Win.ini de la siguiente manera:
En la sección [windows]
añade run = c:\windows\rundllw32.exe
Busca archivos con las extensiones ".ht*" y "*.asp" dentro de la carpeta de "Mis documentos" y la actual, para obtener direcciones de correo electrónico.
Utiliza funciones MAPI (Messaging Application Programming Interface) para gestionar el envío de los mensajes, que tienen características variables.
Los siguientes son algunos ejemplos:
Asunto: Improve your site
Datos adjuntos: js.exe
Texto del mensaje:
Your page is nice. Test this js scripts and tell me what do you think.
Asunto: IE5 security patch
Datos adjuntos: Ie5Patch.exe
Texto del mensaje:
This is the security patch you asked for...i don"t know if is the last version but works.
Asunto: - vacío -
Datos adjuntos: Setup.exe
Texto del mensaje:
Hello, Take a look to this little app!
Si la ejecución tiene lugar el día 5, muestra en pantalla una ventana con el siguiente mensaje:
I-Worm.RunDllw32 Activated
This is a I-Worm coded by Bumblebee\29a!
Gretingz to all 29a members
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4112
Seliuq.C Virus que afecta a documentos y plantillas de Microsoft Word.
También deshabilita la edición de macros mediante cambios en los menús.
Nombre completo: Virus.W97M/Seliuq.C
Tipo: [Virus] - Virus Genérico, normalmente se propaga infectando archivos ejecutables.
Plataforma: [W97M] - Virus de Word 97 y posteriores
Alias:W97M.Seliuq.D (Symantec),
http://www.enciclopediavirus.com/virus/vervirus.php?id=1086 (Enciclopedia Virus (Ontinent)), W97M_SELIUQ.C (Trend Micro), WM97/Seliuq-A (Sophos), W97M/Assilem.g.gen (McAfee), Macro.Word97.Seliuq.c (Kaspersky (viruslist.com))
Detalles
Cuando un documento es infectado con Virus.W97M/Seliuq.C es abierto, elimina las macros existentes.
Cuando un documento infectado se cierra, realiza las siguientes acciones:
Deshabilita el menú de Word Herramientas -> Macro, y oculta el icono de Visual Basic.
Infecta la plantilla Normal.dot y otros documentos activos.
Una de cada 10 veces, si la fecha esta entre los días 9 y 15, envía uno de los siguientes mensajes predefinidos a los equipos incluidos en el mismo dominio que el infectado:
Si el valor del parámetro 'país' de la máquina es España, Argentina, Chile, LatinoAmerica, Méjico, Perú, o Venezuela, el mensaje es alguno de los siguientes:
Me c*go en tu m*dre
Eres una P*ta
P*rra arr*bal*ra
J*dete c*m*pinga
So c*lo r*to
Est* es para que *prendas. Ch*lo de V*eja
So M*ric?
Que p*erco eres, c*rdo, m*rrano!!!
Que m*mal*na eres
Eres un p*j*so
Si el parámetro 'país' de la máquina tiene cualquier otro valor, los mensajes son:
F*ck you
B*tch
M*therF*cker
F*ck you as*h*le
A*sh*le
B*stard
D*c Head
You are a P*G!!!
You L*mer
M*ron
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4111StartPage.AI Troyano que modifica valores de Internet Explorer para redirigir este navegador a ciertos sitios web.
Además, añade 'accesos directos' a su directorio de favoritos y modifica el fichero HOSTS del sistema.
Nombre completo: Trojan.W32/StartPage.AI
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 35840
Alias:TROJ_STARTPAG.AI (Trend Micro)
Detalles
Cuando es ejecutado el troyano residente en memoria Trojan.W32/StartPage.AI, realiza las siguientes acciones:
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Valor: IEengine = "C:\Program Files\Internet Explorer\IEeng.exe"
Sin embargo, no deja una copia de sí mismo en el directorio referido, de modo que podría fallar su ejecución.
También modifica los valores de las siguientes entradas de estas claves del registro de Windows:
Clave: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Valores: Start Page = "
http://any-find.com/index.htm"
Search Page = "
http://any-find.com/index.htm"
Use Search Asst="no"
Search Bar = "
http://any-find.com/sp.htm"
Clave: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl
Valores: provider = "gogl"
@ = "
http://any-find.com/index.htm"
Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search
Valor: SearchAssistant = "
http://any-find.com/sp.htm"
A continuación, añade los siguientes accesos directos al directorio de 'Favoritos' del usuario:
FREE HIDDEN CAMS WORLD.url
FREE SPY CAM.url
FREE WEB CAMS CHATS.url
GET THIS 4 FREE.url
Por último, modifica el fichero HOSTS del sistema, sobreescribiéndolo con la siguiente linea:
127.0.0.1 localhost
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4110Xordoor Troyano que actúa como puerta trasera concediendo a atacantes remotos, acceso ilícito al equipo infectado.
Nombre completo: Backdoor.W32/Xordoor
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 14592
Alias:Backdoor.Xordoor (Symantec)
Detalles
Cuando Backdoor.W32/Xordoor es ejecutado, realiza las siguientes acciones:
Crea los siguientes ficheros:
%System%\xor\svchost.exe
%System%\adorros.dll
Nota: %System% es variable. El troyano localiza el directorio System y se replica en esa ubicación. Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor: "xor" = "%System%\xor\svchost.exe"
Añade datos binarios a la siguiente clave del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\User Settings
Finaliza la ejecución de los procesos más comunes, muchos de ellos relativos a programas antivirus o de seguridad informática (ver lista en el link)
Abre un puerto elegido aleatoriamente en la máquina infectada, y permanece en espera de recibir conexión procedente del atacante.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4109
