W32/VB.KR. El icono simula una carpetaNombre: W32/VB.KR
Tipo: Gusano de Internet
Alias: VB.KR, Win32/VB.KR, W32/VB.F, WORM_VB.F
Plataforma: Windows 32-bit
Tamaño: 57,344 bytes
Gusano escrito en Microsoft Visual Basic 6, que se propaga por correo electrónico, utilizando funciones MAPI (Messaging Application Programming Interface).
Busca direcciones a las cuáles luego se envía, en la libreta de direcciones del usuario infectado. Luego de enviar los mensajes infectados, borra los mensajes enviados.
Su ejecutable se muestra igual al icono de una carpeta de Windows, y cuando se ejecuta, abre el contenido de la carpeta actual para disimular su acción.
Se copia en la carpeta FONTS de Windows, con un nombre al azar:
c:\windows\fonts\[nombre].com
Crea las siguientes entradas en el registro, la primera para ejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
TempCom = c:\windows\fonts\[nombre].com
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced
Hidden = "dword:00000000"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced
SuperHidden = "dword:00000001"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced
HideFileExt = "dword:00000001"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\CabinetState
FullPath = "dword:00000001"
Más información:
http://www.vsantivirus.com/vb-kr.htmBack/Zincite.A. Servidor de puerta traseraNombre: Back/Zincite.A
Tipo: Caballo de Troya
Alias: Zincite.A, Backdoor.Zincite.A
Plataforma: Windows 32-bit
Tamaño: 8,192 bytes
Puerto: TCP/1034
Este troyano es liberado en el sistema por el gusano W32/Mydoom.R.
Actúa como un servidor de puerta trasera (backdoor), que permite el acceso remoto a usuarios no autorizados, comprometiendo la seguridad de la computadora infectada.
Abre el puerto TCP/1034, y permanece a la escucha esperando una conexión remota.
Se copia en el sistema con el siguiente nombre:
c:\windows\services.exe
Agrega las siguientes entradas en el registro de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Services = c:\windows\services.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Services = c:\windows\services.exe
Intenta luego conectarse con otros sistemas infectados, probando direcciones al azar por el puerto 1034.
Herramienta de limpieza automática:
Descargue y ejecute esta herramienta en su computadora, para una limpieza automática de la misma. Siga las instrucciones en pantalla.
Future Time Srl (NOD 32)
http://www.nod32.it/cgi-bin/mapdl.pl?tool=MydoomR Más información:
http://www.vsantivirus.com/back-zincite-a.htmW32/Mydoom.R. Gusano de gran propagaciónNombre: W32/Mydoom.R
Tipo: Gusano de Internet
Alias: Mydoom.R, MyDoom.M, Mydoom.N, Win32/Mydoom.R, W32/MyDoom-O, I-Worm.Mydoom.M, I-Worm.Mydoom.m, W32/Mydoom.o@MM, W32/Mydoom.M.worm, WORM_MYDOOM.M, W32/Mydoom.N.worm
Plataforma: Windows 32-bit
Tamaño: 28,832 bytes (UPX)
Variante de este gusano escrito en Visual C++, que se propaga por correo electrónico. Utiliza su propio motor SMTP. Fue reportado el 26 de julio de 2004 y considerado como de gran propagación por los principales fabricantes de antivirus.
Descarga un componente backdoor que actúa como un servidor que permite a un usuario remoto ejecutar ciertas acciones en los equipos infectados. Este componente es identificado como Zincite.A por algunos antivirus. Más información:
Back/Zincite.A. Servidor de puerta trasera
http://www.vsantivirus.com/back-zincite-a.htmMás información:
http://www.vsantivirus.com/mydoom-r.htmW32/Mabutu.A. Se propaga por e-mail y usa IRCNombre: W32/Mabutu.A
Tipo: Gusano de Internet
Alias: Mabutu, Win32/Mabutu.A, W32/Mabutu.a@MM
Plataforma: Windows 32-bit
Tamaño: 32,768 bytes (EXE), 48,640 bytes (DLL)
Este gusano se propaga en forma masiva vía correo electrónico.
Posee su propio motor SMTP para enviarse, y utiliza direcciones falsas como remitente.
Las direcciones a las que se envía, son obtenidas de la máquina infectada.
Está formado por un componente .EXE que libera un .DLL al ejecutarse.
El gusano obtiene direcciones electrónicas de archivos con las siguientes extensiones:
.htm
.html
.txt
.wab
Más información:
http://www.vsantivirus.com/mabutu-a.htmW32/Lovgate.AL. Usa e-mail y recursos compartidosNombre: W32/Lovgate.AL
Tipo: Gusano de Internet
Alias: Lovgate.AL, WORM_LOVGATE.AE, W32/Lovgate.af2@MM
Plataforma: Windows 32-bit
Tamaño: 153,600 bytes
Puerto: TCP al azar
Gusano que se propaga masivamente por correo electrónico, y recursos compartidos en redes.
La máquina infectada puede ser accedida por un atacante a través de una puerta trasera instalada por el gusano.
Los mensajes infectados pueden tener adjuntos con extensiones .EXE, .PIF, .SCR, .COM, .RAR o .ZIP. El mensaje también puede ser la respuesta a un mensaje enviado anteriormente a un usuario que ahora ha sido infectado (no abra adjuntos de usuarios conocidos sin haber confirmado con el remitente su envío, podría ser una respuesta automática del gusano a uno de sus mensajes, en un mensaje infectado).
Utiliza su propio motor SMTP para enviarse a todos los contactos de la libreta de direcciones de Windows y del Outlook, y a todas las direcciones que extrae de archivos de las máquinas infectadas.
Más información:
http://www.vsantivirus.com/lovgate-al.htmVB.F Gusano residente en memoria cuya propagación se realiza mediante el envío de correo electrónico a direcciones incluidas en la lista de contactos del usuario.
Para confundir al usuario, utiliza un icono similar al de un directorio (una carpeta), y al ser ejecutado, abre el directorio actual.
Nombre completo: Worm.W32/VB.F@MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Tamaño (bytes): 57344
Alias:WORM_VB.F (Trend Micro)
Cuando es ejecutado, Worm.VB.F@MM añade el valor indicado a la siguiente clave del registro de Windows, para poder ejecutarse automáticamente cada vez que el sistema es reiniciado:
Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Valor: TempCom = "%Windows%\Fonts\%- aleatorio -%.com"
Notas:
%Windows% es el directorio de Windows, normalmente C:\Windows o C:\WINNT.).
- aleatorio - hace referencia a un nombre de fichero variable, y con extensión COM.)
Además, modifica las siguientes claves del registro de Windows, con el objetivo de ocultarse a sí mismo:
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Valores: Hidden = "dword:00000000"
SuperHidden = "dword:00000001"
HideFileExt = "dword:00000001"
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState
Valor: FullPath = "dword:00000001"
Se propaga a través de correo electrónico mediante comandos de MAPI (Messaging Application Programming Interface).
Busca direcciones electrónicas en la lista de contactos del usuario infectado.
Envía un correo a las víctimas, con un fichero anexo que es una copia del propio gusano.
Una vez enviada la copia del gusano, elimina el correo enviado.
Worm.VB.F@MM está escrito utilizando Microsoft Visual Basic 6.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4116Istbar.DV Troyano que intenta descargar y ejecutar programas adware en el equipo infectado sin permiso del usuario. Hace varios cambios en la configuración de Internet Explorer, por ejemplo la página de Inicio y la de de búsqueda. Otros navegadores no se ven afectados .
Nombre completo: Trojan.W32/Istbar.DV
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Win32/TrojanDownloader.IstBar.DV (Enciclopedia Virus (Ontinent))
Detalles
Cuando se ejecuta el troyano crea los siguientes archivos en el sistema infectado:
bb.exe
dating.exe
igetnet.exe
istbar.dll
istsvc.exe
istsvc_updater.exe
lycos_ss.exe
msbb.exe
optimize.exe
powerscan.exe
sbinstall.exe
whenu.exe
Para ejecutarse en cada inicio crea la siguiente clave en el registro de Windows:
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
Power Scan = powerscan.exe
También modifica las páginas de inicio y búsqueda del Internet Explorer, para ello cambia las siguientes claves en el registro de Windows:
HKCU\Software\Microsoft\Internet Explorer
\Main\BandRest
HKLM\SOFTWARE\Microsoft\Internet Explorer
\Main\BandRest
HKCU\Software\Microsoft\Internet Explorer
\Main\Start Page
HKCU\Software\Microsoft\Internet Explorer
\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer
\Main\Search Page
HKCU\Software\Microsoft\Internet Explorer
\Main\Use Search Assistant
HKCU\Software\Microsoft\Internet Explorer
\Main\SearchAssistant
HKCU\Software\Microsoft\Internet Explorer
\Main\Start Page
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4117
