Autor Tema: 1 de agosto, virus (empezamos bien, hoy sólo 3)  (Leído 2882 veces)

Desconectado Danae

  • Administrator
  • *
  • Mensajes: 3210
  • Casi siempre en el armario.
    • windowsfacil,  primeros pasos con windows y el pc
1 de agosto, virus (empezamos bien, hoy sólo 3)
« en: 01 de Agosto de 2004, 07:06:24 pm »
W32/Bajos.A. Intenta propagarse por disquetes
Nombre: W32/Bajos.A
Tipo: Gusano
Alias: Bajos, Win32/Bajos.A, WORM_BAJOS.A, Win32/Bajos.Worm, Win32/Bajos.A worm
Plataforma: Windows 32-bit
Tamaño: 16,238 bytes
Gusano que intenta propagarse por disquetes, escrito en Visual Basic y comprimido con la herramienta UPX.
Cuando se ejecuta, se copia en la carpeta System de Windows:
c:\windows\system\command.com
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
El gusano queda residente en memoria, e intenta copiarse en cualquier disquete sin protección contra escritura insertado en la unidad A con el nombre de TRABAJOS.EXE. Debido a un error, falla en este intento.
Para ejecutarse en cada reinicio, crea las siguientes entradas en el registro de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
U = c:\windows\system\command.com
El gusano no tiene capacidad de propagación por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.
Un usuario malintencionado, también podría enviarlo en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios.
Más información: http://www.vsantivirus.com/bajos-a.htm

W32/Bugbros.C. Simula ser enviado por Microsoft
Nombre: W32/Bugbros.C
Tipo: Gusano de Internet
Alias: Bugbros.C, Win32/Bagger.C, W32.Bugbros.C@mm, Bloodhound.W32.VBWORM, I-Worm.generic, W32/Generic.a@MM
Plataforma: Windows 32-bit
Tamaño: 24,576 bytes
Gusano escrito en Microsoft Visual Basic y comprimido con la utilidad UPX, que se envía en forma masiva a través del Outlook y Outlook Express, a todos los contactos de la libreta de direcciones, simulando ser una herramienta enviada por Microsoft.
El mensaje tiene estas características:
De: [email protected]
Asunto: New products
Texto:
Hi,
Update your Windows PC with Microsoft Windows Panel.
This tool is free and provided by Microsoft.
For more info read the disclaimer when
you run the program.
bye
Datos adjuntos: twunk_64.exe
Cuando se ejecuta, se copia en la siguiente carpeta:
c:\windows\twunk_64.exe
El camino completo está escrito literalmente en su código, de modo que no depende de la ubicación ni del nombre de la carpeta que use el sistema operativo en el equipo infectado.
El gusano se envía en un mensaje como el arriba descrito, a todos los contactos de la libreta de direcciones, utilizando las funciones MAPI del Outlook y Outlook Express.
MAPI (Messaging Application Programming Interface), es una interfase de programación para aplicaciones que gestionen correo electrónico, servicios de mensajería, trabajos en grupo, etc.
Más información: http://www.vsantivirus.com/bugbros-c.htm

W32/Mydoom.S. Se propaga por e-mail, usa buscadores
Nombre: W32/Mydoom.S
Tipo: Gusano de Internet
Alias: Mydoom.S, MyDoom.N, Mydoom.O, I-Worm.Mydoom.N, I-Worm.Mydoom.n, W32.Mydoom.N@mm, W32/Mydoom.N.worm, W32/Mydoom.O.worm, W32/Mydoom.o@MM, W32/Mydoom.p@MM, W32/MyDoom-P, Win32/Mydoom.S, WORM_MYDOOM.N
Plataforma: Windows 32-bit
Tamaño: 35,328 bytes (ASPack)
Variante de este gusano escrito en Visual C++ y comprimido con la utilidad ASPack, que se propaga por correo electrónico, utilizando su propio motor SMTP.
Como la variante anterior (Mydoom.R), utiliza los motores de búsqueda de Internet (Google, etc.), para localizar direcciones electrónicas.
Descarga un componente backdoor que actúa como un servidor que permite a un usuario remoto ejecutar ciertas acciones en los equipos infectados. Este componente (SERVICES.EXE) es idéntico al de la variante identificada por algunos antivirus con alguno de los siguientes nombres:
Back/Zincite.A
Backdoor.Zincite.A
I-Worm.Mydoom.M
I-Worm.Mydoom.m
MyDoom.M
Mydoom.N
Mydoom.R
W32/Mydoom.M.worm
W32/Mydoom.N.worm
W32/Mydoom.o@MM
W32/MyDoom-O
Win32/Mydoom.R
WORM_MYDOOM.M
Zincite.A
Más información sobre el componente troyano:
Back/Zincite.A. Servidor de puerta trasera
http://www.vsantivirus.com/back-zincite-a.htm
Esta variante del gusano Mydoom, puede llegar en un mensaje con las siguientes características:
De: [dirección falsificada]
La dirección puede ser tomada de archivos del sistema, o construida de la siguiente forma:
mailer-daemon@[dominio destinatario]
noreply@[dominio destinatario]
Como nombre, puede usarse uno de los siguientes:
Automatic Email Delivery Software
Bounced mail
Mail Administrator
Mail Delivery Subsystem
MAILER-DAEMON
Post Office
Returned mail
The Post Office
Asunto: [uno de los siguientes]
- click me baby, one more time
- delivery failed
- Delivery reports about your e-mail
- error
- hello
- hi error
- Mail System Error - Returned Mail
- Message could not be delivered
- report
- Returned mail: Data format error
- Returned mail: see transcript for details
- say helo to my litl friend
- status
- test
- The message could not be delivered
- The Message could not be delivered
- The original message was included as attachment
- Your message could not be delivered
- Your Message could not be delivered
Texto del mensaje:
El texto del mensaje es creado con varios componentes seleccionados al azar por el gusano. Los siguientes son solo ejemplos que pueden variar en la construcción de algunas frases y la selección de diferentes palabras:
Ejemplo 1:
Dear user of [dominio],
We have received reports that your account was used to
send a large amount of unsolicited e-mail messages
during the last week.
Obviously, your computer had been compromised by a
recent virus and now contains a trojaned proxy server.
We recommend you to follow our instructions in the
attachment file in order to keep your computer safe.
Have a nice day,
[dominio] support team.
Ejemplo 2:
The message was undeliverable due to the following
reasons:
Your message could not be delivered because the
destination server was unreachable within the allowed
queue period. The amount of time a message is queued
before it is returned depends on local configura-tion
parameters. Most likely there is a network problem that
prevented delivery, but it is also possible that the
computer is turned off, or does not have a mail system
running right now.
Ejemplo 3:
Your message could not be delivered within [número al
azar] days:
Host [servidor] is not responding.
The following recipients could not receive this
message:
<[dirección]>
Please reply to postmaster@[dominio] if you feel this
message to be in error.
The original message was received at [hora] from
[dominio]
----- The following addresses had permanent fatal
errors -----
<[dirección]>
----- Transcript of session follows -----
... while talking to host [dominio]:
>>> MAIL From:[dirección]
<<< 50$d Refused unknown 554 <[dirección]>... Mail
quota exceeded
554 <[dirección]>... Service unavailable
Session aborted, reason: lost connection
<<< 550 MAILBOX NOT FOUND User unknown
The original message was included as attachment
Ejemplo 4:
Your message could not be delivered
Datos adjuntos: [nombre]+[extensión]
Donde [extensión] es una de las siguientes:
.bat
.cmd
.com
.exe
.pif
.scr
.zip
Y [nombre] es una parte o toda la dirección de correo a la que se envía, o una de las siguientes palabras:
attachment
document
file
instruction
letter
mail
message
readme
text
transcript
Ejemplos: Si la dirección es "[email protected]" el adjunto puede ser alguno de los siguientes:
[email protected]
hotmail.com
maria.scr
También podría ser alguno de los siguientes:
attachment.exe
letter.scr
transcript.com
Los adjuntos con extensión .ZIP son archivos comprimidos y contienen un archivo con nombre al azar y a veces dos extensiones separadas por una gran cantidad de espacios.
Cuando se ejecuta el gusano, se crean los siguientes archivos:
c:\windows\java.exe
c:\windows\services.exe
El segundo, es el troyano "Zincite.A" mencionado antes.
El gusano crea las siguientes entradas en el registro, las dos primeras para autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
JavaVM = c:\windows\java.exe
Services = c:\windows\services.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
JavaVM = c:\windows\java.exe
Services = c:\windows\services.exe
HKCU\Software\Microsoft\Daemon
HKLM\SOFTWARE\Microsoft\Daemon
Para propagarse, el gusano extrae direcciones de correo de archivos con las siguientes extensiones en el equipo infectado:
.adb
.asp
.dbx
.ht*
.ph*
.pl*
.sht*
.tbb
.tx*
.wab
Esto incluye las bases de mensajes del Outlook y la libreta de direcciones.
Adicionalmente, el gusano realiza consultas a máquinas de búsqueda en Internet, utilizando los nombres de dominios de las direcciones encontradas en las máquinas infectadas, y luego examina los resultados para extraer nuevas direcciones.
El gusano utiliza las siguientes máquinas de búsqueda, en un porcentaje diferente en cada caso:
www.google.com (lo usa un 45% de las veces)
search.lycos.com (lo usa un 22.5%)
search.yahoo.com (lo usa un 20%)
www.altavista.com (lo usa un 12.5%)
El gusano evita enviarse a aquellas direcciones que contengan alguno de los siguientes textos en su nombre: (ver lista en el linkn)
Intenta copiarse en aquellas carpetas cuyos nombres contengan algunos de estos textos:
userprofile
yahoo.com
limpieza del troyano Back/Zincite.A. Servidor de puerta trasera
http://www.vsantivirus.com/mydoom-s.htm

http://www.vsantivirus.com/back-zincite-a.htm

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 15865
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
1 de agosto, virus (empezamos bien, hoy sólo 3)
« Respuesta #1 en: 01 de Agosto de 2004, 08:33:41 pm »
esperemos que esa sea la tónica, pero , ya veremos ya...
Gracias danae

un saludo

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15344
    • https://www.daboblog.com
1 de agosto, virus (empezamos bien, hoy sólo 3)
« Respuesta #2 en: 02 de Agosto de 2004, 02:41:20 pm »
gracias amiga  :wink:
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; https://twitter.com/daboblog
Instagram: @daboblog


www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.davidhernandez

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License