Aunque algunos virus ya fueron reportados en meses anteriores, se vuelven a reportar al haber nuevas variantes o nuevas formas de atacar.
____________________________________________________________
Troj/Mitglieder.AT. Descarga y ejecuta archivosNombre: Troj/Mitglieder.AT
Tipo: Caballo de Troya
Alias: Mitglieder.AT, Trojan.Mitglieder.M, TrojanClicker.Win32.Small.ak, TrojanClicker.Win32.Small.al, W32/Bagle.am!proxy, W32/Bagle.dll.gen, Win32.Glieder, Win32.Glieder.C, Win32/Glieder.DLL.Trojan, Win32/TrojanDownloader.Small.NAO, Win32/TrojanProxy.Mitglieder.AT, Win32/TrojanProxy.Mitglieder.AT.dropper
Plataforma: Windows 32-bit
Tamaño: 5,924 bytes (FSG)
Puerto: UDP 1056
Este troyano ha sido reportado por usuarios infectados con el gusano Bagle. Dicho gusano descarga y ejecuta a este troyano luego de una infección. También puede ser descargado por otros troyanos, o desde sitios web maliciosos.
Funciona como un repetidor de e-mails, y es capaz de finalizar la ejecución de numerosos programas, además de reenviar información de la víctima a usuarios remotos. También intenta descargar y ejecutar otros archivos desde Internet.
Cuando se ejecuta, crea los siguientes archivos en el sistema infectado:
c:\windows\system\windirect.exe
c:\windows\system\_dll.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
win_upd2.exe = c:\windows\system\windirect.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
win_upd2.exe = c:\windows\system\windirect.exe
Luego, el troyano inyecta el archivo _DLL.EXE como un hilo dentro de un proceso llamado "Shell_TrayWnd". Este proceso puede continuar ejecutándose hasta el próximo reinicio de Windows. Cómo resultado, el troyano no se mostrará en la lista de procesos del Administrador de Tareas.
El troyano es capaz de finalizar los procesos que tengan los siguientes nombres: (ver lista en el link)
Intenta descargar un archivo con nombre ~.EXE de los siguientes sitios de Internet: (ver lista en el link)
Si logra descargarlo, el archivo es copiado en la carpeta de Windows y luego ejecutado:
c:\windows\~.exe
El troyano abre el siguiente puerto en las máquinas infectadas:
UDP/1056
http://www.vsantivirus.com/troj-mitglieder-at.htmW32/Wukill.B. Datos adjuntos: "MShelp.EXE"Nombre: W32/Wukill.B
Tipo: Gusano de Internet
Alias: Wukill.B, W32.Wullik.B@mm, Win32/Wukill.B, Bloodhound.W32.VBWORM, W32/Wukill.worm, WORM_WUKILL.B
Plataforma: Windows 32-bit
Tamaño: 49,152 bytes
Gusano escrito en Visual Basic, que se envía en forma masiva a través del correo electrónico, a todos los contactos de la libreta de direcciones de Windows. El mensaje contiene textos en chino, mostrados como caracteres extraños en una configuración de Windows en español (o en cualquier otro idioma que no sea chino).
Asunto: MS?DOS????
Datos adjuntos: MShelp.EXE
Texto del mensaje: (en chino)
Donde los caracteres "????" son chinos (o caracteres sin sentido si no se tiene instalado ese idioma).
Cuando se ejecuta, se copia a si mismo en ubicaciones y nombres, seleccionados al azar. Mientras el gusano se esté ejecutando en memoria, cualquier intento de visualizarlo en la carpeta en que se esté ejecutando con el Explorador de Windows será inútil, ya que el gusano se copia inmediatamente en otra carpeta, borrándose de la actual.
El gusano también crea copias de si mismo en la unidad de disquete A, en el disco duro C, y en las unidades mapeadas de red D y E (si existen), usando el siguiente nombre:
winfile.exe
Cuando se ejecuta por primera vez, se copia con alguno de los siguientes nombres en la carpeta de Windows:
c:\windows\mstray.exe
c:\windows\mstray1.exe
Si el sistema operativo es Windows NT, 2000 o XP, despliega una ventana de error falsa, con el siguiente texto:
Warning
This File Has Been Damage!
[ OK ]
El icono de los archivos es similar al de las carpetas de Windows, en un intento de engañar al usuario.
Una vez en memoria, monitorea permanentemente la ventana activa. Cuando una ventana queda en primer plano, el gusano puede crear nuevas copias de si mismo, dependiendo del contenido de la barra del título de dicha ventana.
Si el título de una ventana activa se refiere a la ubicación actual del gusano, el mismo crea una nueva copia de si mismo en otro directorio seleccionado al azar, con un nombre también al azar. Luego ejecuta la nueva copia y finaliza la anterior. La nueva copia del gusano, a su vez borra el archivo en la carpeta anterior.
Por ejemplo, si el archivo actual es C:\WINDOWS\MSTRAY.EXE, y usted abre una ventana con el explorador de Windows en la carpeta C:\WINDOWS, el gusano se copia en C:\WINDOWS\TEMP\ con el nombre FGH.EXE. Luego, se ejecuta C:\WINDOWS\SYSTEM32\FGH.EXE y éste borra el archivo anterior: C:\WINDOWS\MSTRAY.EXE.
Si la barra del título de la ventana abierta indica una ubicación diferente, entonces el gusano se copia en esa ubicación con el mismo nombre de la carpeta y el atributo de oculto (+H).
Por ejemplo, si la ventana del Explorador de Windows indica C:\ARCHIVOS DE PROGRAMA, entonces el gusano se copia como C:\ARCHIVOS DE PROGRAMA\ARCHIVOS DE PROGRAMA.EXE. Este archivo tendrá los atributos de oculto.
Esta técnica también le permite copiarse a unidades y recursos compartidos en red, cada vez que se visualiza una carpeta de ésta en una ventana de Windows.
Si la barra de título no indica un camino, el gusano puede copiarse de la siguiente forma:
ABCwinfile.exe
ABCcomment.htt
ABCdesktop.ini
Donde ABC son los primeros tres caracteres de la barra de título de la ventana.
Por ejemplo, si el título de la ventana actual es "Mis documentos", entonces se crean los siguientes archivos:
Miswinfile.exe
Miscomment.htt
Misdesktop.ini
El .EXE es el propio gusano. El segundo archivo (.HTT), es una plantilla HTML, que incluye un código JavaScript detectado como "JS.Exception.Exploit". Este archivo es utilizado para ejecutar al primero en sistemas que son vulnerables a ese exploit.
También modifica el registro de Windows, agregando las siguientes entradas para autoejecutarse en próximos reinicios:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RavTimeXP = [nombre actual del gusano]
RavTimXP = [último nombre usado por el gusano]
Note que las entradas en el registro también serán modificadas de acuerdo a la ubicación y nombre actual del gusano.
Además, en cada ejecución, puede crear otra copia de sí mismo con un nombre aleatorio en la carpeta de Windows. En esos casos también actualiza la clave del registro con los datos correspondientes.
El gusano agrega además las siguientes entradas, la primera para guardar su propia configuración, la segunda para asegurarse de que aparezca el camino completo en la barra del título del explorador de Windows, y la última para que no se muestren las extensiones de los archivos:
HKLM\Software\Microsoft\Windows\CurrentVersion\Setup
RavTimXP
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\CabinetState
FullPath = 1
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced
Hidden = 0
HideFileExt = 1
Luego, se envía a todos los contactos de la libreta de direcciones, en un mensaje como el descrito antes. En algunos casos, puede fallar en su intento.
http://www.vsantivirus.com/wukill-b.htmW32/Wukill.C. Se propaga por redes y disquetesNombre: W32/Wukill.C
Tipo: Gusano de Internet
Alias: Wukill.C, Win32/Wukill.C, WORM_WUKILL.C, Bloodhound.W32.VBWORM, W32/Wukill.worm, I-Worm.Silly.a
Plataforma: Windows 32-bit
Tamaño: 53,248 bytes
Este gusano, escrito en Visual Basic 6, requiere la presencia de la librería MSVBVM60.DLL para ejecutarse.
De características no destructivas, está diseñado para propagarse a través de redes, disquetes y correo electrónico. En éste último caso, y en algunos casos, puede fallar en su intento. Si lo logra, los mensajes enviados, están escritos en chino.
Si el sistema operativo es Windows NT, 2000 o XP, cuando se ejecuta por primera vez despliega una ventana de error falsa, con el siguiente texto:
Warning
This File Has Been Damage!
[ OK ]
Si se ejecuta, queda residente en memoria, y examina si su propio ejecutable está en la carpeta de Windows. Si no está allí, crea una copia de si mismo en esa carpeta:
c:\windows\msdostray.com
El gusano también crea copias de si mismo en la unidad de disquete A, en el disco duro C, y en las unidades mapeadas de red D y E (si existen), usando cualquiera de los siguientes nombres:
document.exe
explorer.exe
windows.exe
Luego modifica el registro para autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
KaV3000XP = c:\windows\msdostray.com
NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000).
También modifica la siguiente clave del registro, para ocultar al usuario todos los archivos con atributos de oculto (+H) y de sistema (+S):
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advance
Hidden=0
El gusano intenta ocultar los archivos con extensión .EXE, cambiando su icono por el icono asignado a las carpetas:
http://www.vsantivirus.com/wukill-c.htm
W32/Wukill.D. Se propaga por redes y disquetesNombre: W32/Wukill.D
Tipo: Gusano de Internet
Alias: Wukill.D, Win32/Wukill.D, WORM_WUKILL.D, Bloodhound.W32.VBWORM, W32/Wukill.worm, Win32/NewMalware.R, I-Worm.Silly.a
Plataforma: Windows 32-bit
Tamaño: 53,248 bytes
Este gusano, escrito en Visual Basic 6, requiere la presencia de la librería MSVBVM60.DLL para ejecutarse.
De características no destructivas, está diseñado para propagarse a través de redes, disquetes y correo electrónico. En éste último caso, y en algunos casos, puede fallar en su intento. Si lo logra, los mensajes enviados, están escritos en chino.
Si el sistema operativo es Windows NT, 2000 o XP, cuando se ejecuta por primera vez despliega una ventana de error falsa, con el siguiente texto:
Warning
This File Has Been Damage!
[ OK ]
Si se ejecuta, queda residente en memoria, y examina si su propio ejecutable está en la carpeta de Windows. Si no está allí, crea una copia de si mismo en esa carpeta:
c:\windows\mstray.exe
El gusano también crea copias de si mismo en la unidad de disquete A, en el disco duro C, y en las unidades mapeadas de red D y E (si existen), usando el siguiente nombre:
winfile.exe
Luego modifica el registro para autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RavTimerXP = c:\windows\mstray.exe
NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000).
También modifica la siguiente clave del registro, para ocultar al usuario todos los archivos con atributos de oculto (+H) y de sistema (+S):
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advance
Hidden=0
El gusano intenta ocultar los archivos con extensión .EXE, cambiando su icono por el icono asignado a las carpetas:
http://www.vsantivirus.com/wukill-d.htmW32/Wukill.E. Se propaga en un mensaje en chinoNombre: W32/Wukill.E
Tipo: Gusano de Internet
Alias: Wukill.E, Win32/Wukill.E, WORM_WUKILL.E, W32.Wullik@mm, W32.Wukill.worm
Plataforma: Windows 32-bit
Tamaño: 53,248 bytes
Gusano escrito en Visual Basic, que se envía en forma masiva a través del correo electrónico.
El mensaje contiene textos en chino, mostrados como caracteres extraños en una configuración de Windows en español (o en cualquier otro idioma que no sea chino), y presenta estas características:
De: [dirección del usuario infectado]
Asunto: ?????
Texto del mensaje: (en chino)
Datos adjuntos: [uno de los siguientes]
document.exe
explorer.exe
windows.exe
Donde los caracteres "????" son chinos (o caracteres sin sentido si no se tiene instalado ese idioma).
Cuando se ejecuta por primera vez, se copia en la siguiente ubicación:
c:\windows\msdostray.com
El gusano también crea copias de si mismo en la unidad de disquete A, en el disco duro C, y en las unidades mapeadas de red D y E (si existen), usando el siguiente nombre:
explorer.exe
Luego modifica el registro para autoejecutarse en cada reinicio, agregando una de las siguientes entradas:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
KaV3000XP = c:\windows\msdostray.com
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RavTimeXP = c:\windows\msdostray.com
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
KaV300XP = c:\windows\msdostray.com
El gusano intenta ocultar los archivos con extensión .EXE, cambiando su icono por el icono asignado a las carpetas.
También modifica las siguientes claves del registro, para ocultar al usuario todos los archivos con atributos de oculto (+H) y de sistema (+S) y para asegurarse de que aparezca el camino completo en la barra del título del explorador de Windows:
HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Explorer\Advanced
Hidden = 0
HideFileExt = 1
HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Explorer\CabinetState
FullPath = 1
Las direcciones a las que se envía, son obtenidas de archivos contenidos en carpetas del Outlook Express que contengan las siguientes cadenas en sus nombres:
Calendar
Contacts
Deleted Items
Drafts
Inbox
Journal
Notes
Offline
Outbox
Sent Items
Tasks
El gusano contiene el siguiente texto en su código:
Company Name: gy
Internal Name: wukill
Language: Chinese (PRC)
Original Filename: wukill.exe
Product Name: xgtray
Product Version: 1.0
Este gusano requiere la presencia de la librería MSVBVM60.DLL para ejecutarse.
http://www.vsantivirus.com/wukill-e.htmW32/Wukill.F. Se propaga por redes y disquetesNombre: W32/Wukill.F
Tipo: Gusano de Internet
Alias: Wukill.F, WORM_WUKILL.F, Win32/Wukill.F, W32.Wullik@mm, W32/Wukill.worm, Win32/NewMalware.R, I-Worm.Wukill, Win32/Outlook_OLE.Unknown.Worm, Win32/Wukill.C worm, I-Worm/Wukill.C
Plataforma: Windows 32-bit
Tamaño: 28,672 bytes
Este gusano, escrito en Visual Basic 6, requiere la presencia de la librería MSVBVM60.DLL para ejecutarse.
De características no destructivas, está diseñado para propagarse a través de redes, disquetes y correo electrónico. En éste último caso, y en algunos casos, puede fallar en su intento. Si lo logra, los mensajes enviados, están escritos en chino.
El ejecutable, presenta el icono de búsqueda (una carpeta con una lupa).
Cuando se ejecuta por primera vez, muestra el siguiente mensaje de error para disimular su acción, haciendo creer al usuario que el archivo está dañado y por lo tanto no se ha ejecutado:
Warning
This File Has Been Damage!
[ OK ]
Si ese mensaje aparece, sin importar la acción siguiente del usuario, el gusano queda residente en memoria, y examina si su propio ejecutable está en la carpeta de Windows. Si no está allí, crea una copia de si mismo en esa carpeta:
c:\windows\mstray.exe
Luego modifica el registro para autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RavTime = c:\windows\mstray.exe
http://www.vsantivirus.com/wukill-f.htmBugbros.C Es un sencillo gusano que se envía automáticamente a todas las direcciones de la libreta del Microsoft Outlook. El email tiene las siguientes características:
De:
[email protected]Asunto: New products
Adjunto: Twunk_64.exe
Nombre completo: Worm.W32/Bugbros.C@MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Windows 2000, Windows 95, Windows 98, Windows CE, Windows Me, Windows NT, Windows XP
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Tamaño comprimido (bytes): 24576
Alias:W32.Bugbros.C@mm (Symantec)
Detalles
Cuando se ejecuta este gusano realiza las siguientes acciones:
Se copia a sí mismo a "C:\Windows\Twunk_64.exe"
Crea el siguiente mensaje de correo:
De:
[email protected]Asunto: New products
Mensaje:
Hi,
Update your Windows PC with Microsoft Windows Panel.
This tool is free and provided by Microsoft.
For more info read the disclaimer when you run the program.
bye
Adjunto: Twunk_64.exe
Envía este mensaje a todas las direcciones encontradas en el Microsoft Outlook.
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4132
