W32/Gaobot.KP. Se copia como "wmmon32.exe"Nombre: W32/Gaobot.KP
Tipo: Gusano de Internet y caballo de Troya
Alias: Gaobot.KP, Agobot.KP, WORM_AGOBOT.QM, WORM_AGOBOT.GEN, Backdoor.Agobot.gen, W32/Gaobot.worm.gen.f, W32.HLLW.Gaobot.gen
Plataforma: Windows NT, 2000 y XP
Puertos: TCP/135, TCP/445, TCP/80
Tamaño: 78,016 bytes
Esta versión intenta borrar recursos compartidos locales.
Gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de conocidas vulnerabilidades.
Con este gusano, un intruso pueda acceder en forma remota a la computadora infectada, a través del IRC.
Se ejecuta solo en Windows NT, 2000 y XP, e intenta finalizar los procesos de conocidos productos antivirus, cortafuegos y algunas utilidades del propio Windows.
Se copia en el sistema infectado con el siguiente nombre:
c:\windows\system32\wmmon32.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Agrega las siguientes entradas en el registro
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
WSSAConfiguration = "wmmon32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WSSAConfiguration = "wmmon32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
WSSAConfiguration = "wmmon32.exe"
Finaliza los procesos correspondientes a conocidos antivirus y cortafuegos, además de otros programas y utilidades. (ver lista en el link)
Modifica el archivo HOSTS para que los siguientes sitios no puedan ser accedidos desde una máquina infectada:
avp .com
ca .com
customer .symantec .com
dispatch .mcafee .com
download .mcafee .com
f-secure .com
kaspersky .com
liveupdate .symantec .com
liveupdate .symantecliveupdate .com
mast .mcafee .com
mcafee .com
my-etrust .com
nai .com
networkassociates .com
rads .mcafee .com
secure .nai .com
securityresponse .symantec .com
sophos .com
symantec .com
trendmicro .com
update .symantec .com
updates .symantec .com
us .mcafee .com
viruslist .com
www .avp .com
www .ca .com
www .f-secure .com
www .kaspersky .com
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .trendmicro .com
www .viruslist .com
El gusano roba del PC infectado, los posibles identificadores y llaves (CD keys) de conocidos video juegos.
Posee además un componente de acceso remoto por puerta trasera vía IRC, que permite a un atacante realizar numerosas acciones en el equipo infectado, incluidos ataques de denegación de servicio (DoS), a blancos específicos. Algunas acciones posibles:
Ejecutar comandos en forma remota
Eliminar procesos seleccionados
Examinar el tráfico HTTP, FTP, e IRC (sniffer)
Finalizar servicios de Windows
Listar los procesos activos
Obtener archivos a través de FTP y HTTP
Obtener direcciones de correo de la computadora infectada
Obtener información del registro
Obtener un determinado URL
Realizar ataques del tipo "floods" (HTTP, ICMP, SYN, y UDP)
Reiniciar la computadora
Robar contraseñas
Más información:http://www.vsantivirus.com/gaobot-kp.htm
W32/Gaobot.UE. Se copia como "mslti64.exe"Nombre: W32/Gaobot.UE
Tipo: Gusano de Internet y caballo de Troya
Alias: Gaobot.UE, Agobot.UE, WORM_AGOBOT.UE, W32/Agobot-LZ, WORM_AGOBOT.GEN, Backdoor.Agobot.gen, W32/Gaobot.worm.gen, W32.HLLW.Gaobot.gen
Plataforma: Windows NT, 2000 y XP
Puertos: TCP/135, TCP/445, TCP/80
Tamaño: 136,218 bytes (PE-Diminisher)
Es un gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de conocidas vulnerabilidades:
Falla crítica en servidores Microsoft IIS 5.0 (MS03-007)
MS03-039 Ejecución de código en servicio RPCSS (824146)
MS04-011 Actualización crítica (LSASS) (835732)
Un intruso pueda acceder en forma remota a la computadora infectada, a través del IRC.
Se ejecuta solo en Windows NT, 2000 y XP, e intenta robar contraseñas y claves de conocidos juegos de computadora.
Se copia en el sistema infectado con el siguiente nombre:
c:\windows\system32\mslti64.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Agrega las mismas entradas en el registro y modifica el archivo HOSTS, y se comporta igual que Gaobot.KP
Más información:http://www.vsantivirus.com/gaobot-ue.htm
W32/Lemb.A. Se propaga por redes P2PNombre: W32/Lemb.A
Tipo: Gusano de Internet
Alias: Lemb, W32/Belm-A, Win32/Lemb.A, Worm.P2P.Lemb.b
Plataforma: Windows 32-bit
Gusano que se propaga a través de redes de intercambio de archivos entre usuarios P2P (Peer-To-Peer). Utiliza las redes de Bearshare, eDonkey2000, eMule, Grokster, ICQ, Kazaa, Kazaa Lite, LimeWire, Morpheus, Tesla y WinMX.
Cuando se ejecuta, se crean los siguientes archivos en el sistema infectado:
\WINDOWS\run32.exe
\WINDOWS\Winstart.bat
\WINDOWS\system32\taskmgr.exe
\WINDOWS\system32\regedit.exe
También se copia en las siguientes carpetas, para propagarse a través de redes P2P:
\progra~1\WinMX\Shared
\progra~1\Tesla\Files
\progra~1\LimeWire\Shared
\progra~1\Morpheus\My Shared Folder
\progra~1\eMule\Incoming
\progra~1\eDonkey2000\Incoming
\progra~1\Bearshare\Shared
\progra~1\Grokster\My Grokster
\progra~1\ICQ\Shared Folder
\progra~1\Kazaa\My Shared Folder
\progra~1\Kazaa Lite\My Shared Folder
Utiliza para ello, los siguientes nombres:
50 Cent - In da Club.mp3.exe
Anastacia - Left Outside Alone.mp3.exe
Black Eyed Peas - Hey Mama.mp3.exe
Haiducii - Dragostea Din Tei.mp3.exe
Lionel Richie - Just For You.mp3.exe
Pipponoto.exe
Raf - In tutti i miei giorni.mp3.exe
Rosy.exe
The Rasmus - In The Shadows.mp3.exe
Vanessa Carltron - Ordinary Day.mp3.exe
Vasco Rossi - Buoni e cattivi.mp3.exe
El gusano intenta abrir el navegador de Internet del usuario, en la siguiente página de Internet:
http:/ /www .gedzac .tk
También crea el siguiente archivo en la carpeta WINDOWS:
\WINDOWS\Blem.txt
Intenta abrir dicho archivo los días 11 y 23 de cada mes. El archivo no contiene código malicioso.
Más información:http://www.vsantivirus.com/lemb-a.htm
W32/Mits.A. Se propaga en un mensaje en chinoNombre: W32/Mits.A
Tipo: Gusano de Internet
Alias: Mits.A, W32.Mits.A@mm, Trojan.Win32.Smith
Plataforma: Windows 32-bit
Tamaño: 504,832 bytes
Este gusano se propaga masivamente por correo electrónico, utilizando su propio motor SMTP.
Se envía a direcciones electrónicas localizadas en las máquinas infectadas.
El gusano altera numerosas claves del registro, dificultando su remoción del sistema infectado. Deshabilita también la edición del registro.
También cambia la configuración de los modos gráficos de la pantalla, y hace que esta parpadeé, destelle o se apague y se encienda.
Cuando se ejecuta, crea algunos de los siguientes archivos:
c:\windows\system\winconfig.exe
c:\windows\system32\netbios.exe
c:\windows\system32\netserver.exe
c:\windows\system32\setup.exe
c:\windows\system32\winauto.exe
c:\windows\system32\winbios.exe
c:\windows\system32\winloadfile.exe
c:\windows\system32\winnote.exe
c:\windows\system32\winprofile.exe
c:\windows\system32\winserver.exe
Luego, borra los valores por defecto de las siguientes entradas en el registro:
HKLM\SOFTWARE\Classes\.inf
HKLM\SOFTWARE\Classes\.reg
HKLM\SOFTWARE\Classes\txtfile\shell\open\command
Y agrega los siguientes valores:
HKLM\SOFTWARE\Classes\.inf
([caracteres chinos]) = txtfile
HKLM\SOFTWARE\Classes\.reg
([caracteres chinos]) = txtfile
HKLM\SOFTWARE\Classes\txtfile\shell\open\command
([caracteres chinos]) = [nombre del gusano]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nombre del gusano] = [nombre del gusano]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SOFTWARE
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WinLogon
Crea o modifica los siguientes valores:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer
NoChangeStartMenu = 1
NoDrives = 8
NoFind = 1
NoFolderOptions = 1
NoLogOff = 1
NoRealMode = 1
NoRecentDocsMenu = 1
NoRun = 1
NoSetFolders = 1
NoSetTaskBar = 1
NoStartMenu = 1
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = 1
HKCU\Software\Microsoft\Internet Explorer\Main
Show_StatusBar = no
Show_URLToolBar = no
HKCU\Control Panel\Desktop
AutoEndTasks = no
El gusano examina todos los discos duros, y colecciona direcciones electrónicas de diferentes archivos, las que utiliza para enviarse por correo electrónico en mensajes con las siguientes características. (ver lista en el link)
Más información:http://www.vsantivirus.com/mits-a.htm
W32/Mabutu.B. Se propaga por e-mail y KaZaa, usa IRCNombre: W32/Mabutu.B
Tipo: Gusano de Internet
Alias: Mabutu.B, W32/Mabutu.b@MM, I-Worm.Mabutu.b, W32/Mabutu.gen@MM, WORM_MABUTU.B, I-Worm.Mabutu.B, Win32/Mabutu.B
Plataforma: Windows 32-bit
Tamaño: 33,280 bytes (EXE); 49,152 bytes (DLL)
Esta variante es similar a la "A", pero tiene nuevas funcionalidades incluidas en su componente DLL. Además, agrega el prefijo "THE_" a algunos de los textos utilizados en los nombres de archivos y asuntos de los mensajes.
También modifica la lista de servidores IRC a los que intenta conectarse.
Mabutu es un gusano que se propaga en forma masiva vía correo electrónico. También utiliza la red KaZaa.
Posee su propio motor SMTP para enviarse, y emplea direcciones falsas como remitentes.
Las direcciones a las que se envía, son obtenidas de la máquina infectada.
Está formado por un componente .EXE que libera un .DLL al ejecutarse.
El gusano obtiene direcciones electrónicas de archivos con las siguientes extensiones:
.htm
.html
.txt
.wab
Los mensajes enviados tienen las siguientes características:
Asunto: [uno de los siguientes]
britney
Hello
Hi
I'm in love
I'm nude
Important
jenifer
Sex
Wet girls
Datos adjuntos: [algunos ejemplos]
[letras y números al azar]
britney
creme_de_gruyere
details
document
fetishes
gutted
jenifer
message
Ok cunt
photo
the_details
the_document
the_message
Los archivos usan alguna de estas extensiones:
.exe
.scr
.zip
Ejemplos:
K7653425.scr
britney.zip
creme_de_gruyere.scr
document.scr
fetishes.zip
the_details.scr
Cuando es un .ZIP, su contenido es un archivo con doble extensión y nombre al azar:
[nombre].jpg [múltiples espacios] .scr
[nombre].txt [múltiples espacios] .scr
Cuando se ejecuta, el gusano crea los siguientes archivos en la carpeta de Windows:
c:\windows\??twain.dat
c:\windows\?twain.dll
c:\windows\?twain.exe
c:\windows\cfg.dat
Donde "?" representa una o dos letras al azar.
Crea una copia de si mismo con el nombre SCRNSAVE.EXE en la carpeta compartida por defecto por la utilidad KaZaa (red P2P de intercambio de archivos entre usuarios). La ubicación de dicha carpeta la obtiene de la siguiente clave del registro:
HKU\.DEFAULT\Software\Kazaa\LocalContent\DownloadDir
Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
winupd = RUNDLL32.EXE c:\windows\?twain.dll, _mainRD
El gusano intenta conectarse a un servidor IRC por el puerto TCP/6667, utilizando alguno de los siguientes servidores. (ver lista en el link)
Más información:http://www.vsantivirus.com/mabutu-b.htm
Moonlit Troyano con la capacidad de descargar y ejecutar ficheros.
También podría actuar como servidor proxy.
Nombre completo: Backdoor.W32/Moonlit
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Backdoor.Moonlit (Symantec)
Backdoor.W32/Moonlit consta de un fichero .exe encargado de descargar otros ficheros, y un fichero .dll que actúa como puerta trasera en el equipo infectado.
Componente .exe:
Crea la siguiente clave en el registro de Windows:
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\MsMoney2003
Detiene cualquier proceso que contenga las siguientes cadenas, y elimina los ficheros asociados:
_up
skynet
hkey.exe
msiwin84.exe
wmiprvsw.exe
avserve.exe
avserve2.exe
msblast.exe
wupdater.
sysupd.
belt.
wkufind.exe
ssgrate.exe
mra.exe
msbb.exe
Crea los siguientes ficheros:
%Temp%\tmp- números aleatorios -.dll (la puerta trasera .dll)
%System%\- letras aleatorias -.dll (la puerta trasera .dll con datos aleatorios anexados)
Carga el fichero %System%\- letras aleatorias -.dll.
Componente .dll
Crea una nueva clave en el registro de Windows:
Clave: HKEY_CLASSES_ROOT\CLSID\{- nueva CLSID -}
Para asociar la puerta trasera .dll con la nueva CLSID, añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_CLASSES_ROOT\CLSID\{- nueva CLSID -}
Valor: (Predeterminado) = %System%\- letras aleatorias -.dll
Para cargar automáticamente la dll cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad
Valor: - letras aleatorias - = {- nueva CLSID -}
Nota: - letras aleatorias - coincide con el nombre de la dll.
Reinicia continuamente estos valores.
Permanece en escucha a través de un puerto aleatorio.
Dependiendo de la entrada, el troyano podría descargar y ejecutar ficheros, o actuar como un servidor proxy.
Más información:http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4124
Korgo.AC Korgo.AC es un gusano que intenta difundirse por redes aprovechando la vulnerabilidad de desbordamiento de búfer de PCT (Tecnología de Comunicaciones Privadas). Las versiones anteriores de Korgo utilizaban una vulnerabilidad distinta, la de LSASS.
Son vulnerables sistemas Windows NT/2000/XP sin el parche adecuado y con el puerto TCP/113 abierto.
Nombre completo: Worm-Backdoor.WNT/Korgo.AC
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [WNT] - Ejecutable PE (Portable Executable) que corre en Windows NT, 2000, XP, 2003
Alias:W32.Korgo.Z (Symantec), WORM_KORGO.AC (Trend Micro), Win32.Korgo.AC (Computer Associates), Worm.Win32.Padobot.gen (Kaspersky (viruslist.com))
Detalles
Korgo.AC realiza las siguientes acciones:
Korgo.AC borra el fichero ftpupd.exe de la carpeta de dónde es ejecutado.
Crea el mutex "uterm19.2" para asegurarse de que sólo una instantancia del gusano es ejecutada.
Crea los siguientes mutexes, probablemente para bloquear la ejecución de otros virus.
u10
u10x
u11
u11x
u12
u12x
u13
u13i
u13x
u14
u14x
u15
u15x
u16
u16x
u17
u17x
u18
u18x
u19
u8
u9
Borra los valores
avserve.exe
avserve2.exeUpdate Service
Bot Loader
Disk Defragmenter
MS Config v13
System Restore Service
SysTray
Windows Security Manager
Windows Update
Windows Update Service
WinUpdate
de la clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Se copia en la carpeta de sistema de Windows con un nombre aleatorio.
Añade los valores
"Client"="1"
"ID"=""
a la clave del registro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless
Añade el valor
"Cryptographic Service"="%System%\[nombre aleatorio].exe"
a la clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Intenta inyectar una función en un hilo de Explorer.exe. Si tiene éxito, el virus continua corriendo dentro del proceso de Explorer.exe, con lo que no aparecerá en el adminstrador de tareas de Windows, en caso contrario seguirá corriendo como en propio proceso.
Abre un puerto TCP aleatorio, que usa para enviarse.
Inenta conectarse y actualizarsde desde alguno de los siguientes servidores IRC:
0AB1cvv.ru
adult-empire.com
asechka.ru
citi-bank.ru
color-bank.ru
crutop.nu
fethard.biz
filesearch.ru
kavkaz.tv
kidos-bank.ru
konfiskat.org
master-x.com
mazafaka.ru
parex-bank.ru
roboxchange.com
www.redline.ru xware.cjb.net
Se conecta a un canal y espera órdenes que ejecuta en la máquina infectada.
Intenta explotar la vulnerabiliadad de Microsoft PCT (Boletín de Seguridad de Microsoft MS04-011) contra direcciones IP aleatorias. Si tiene éxito, intenta reconectarse al ordenador infectado para descargar el gusano.
Más información:http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4123
Rawbot.AN Caballo de Troya que permite acceso remoto no autorizado al equipo infectado mediante canales IRC (bot de IRC). Parece ser que se han mandado mensajes a grupos de usenet con enlaces a unas supuestas fotos de Bin Laden, que en realidad enlazaban a este troyano.
Nombre completo: Backdoor.W32/Rawbot.AN
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Win32.Rawbot.AN (Computer Associates)
Detalles
Método de Infección
Cuando es ejecutado, se copia en %System%\ZoneLockup.exe, y añade la siguiente entrada al registro para ser ejecutado durante el inicio de sesión del usuario:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Winsock32driver = "ZoneLockup.exe"
Donde %System% es una variable que representa la carpeta de sistema de Windows, por defecto en Windows 2000 y NT es C:\Winnt\System32; en 95,98 y ME es C:\Windows\System; y en XP es C:\Windows\System32.
Método de Distribución.
Como todo troyano, Rawbot.AN no es capaz de difundirse por sí mismo. Sin embargo, se han enviado mensajes a varios grupos de noticias de usente como el siguiente:
Asunto: Osama Found Hanged
Cuerpo del mensafe:
Osama Bin Ladin was found hanged by two CNN journalists early Wedensday evening. As evidence they took several photos, some of which i have included here. As yet, this information has not hit the headlines due to Bush wanting confirmation of his identity but the journalists have released some early photos over the internet..
http://www.theparadise.***.net/OsamaFoundDead.zip
El fichero al que apunta el troyano no contiene fotos, sino a Rawbot.AN
Carga útil
Rawbot se conecta a un servidor IRC usando el puerto 6667, y se une a un canal, donde recibe órdenes que ejecuta en la máquina infectada. Estas incluyen:
info (obtiene información del sistema comprometido)
listprocesses (lista procesos en ejecución)
killprocess
download (obtiene un fichero mediante ftp o http
exexute (ejecuta un fichero local)
quit
Más información:http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4122
