WCE/Brador.A. Primer troyano de PocketPCNombre: WCE/Brador.A
Tipo: Caballo de Troya de acceso remoto
Alias: Brador, Backdoor.Brador.A, Backdoor.Brador.A, Backdoor.WinCE.Brador.a, Backdoor.WinCE.Brador.a, WinCE/BackDoor-CHK, WINCE_BRADOR.A, Troj/Brador-A
Fecha: 5/ago/04
Plataforma: Windows CE
Tamaño: 5,632 bytes
Este troyano, de origen ruso, solo se ejecuta en dispositivos PocketPC con WinCE 2.0 o superior, como sistema operativo.
Cuando se ejecuta, envía un correo electrónico para notificar al autor del malware la dirección IP de la víctima.
Al mismo tiempo, abre el puerto TCP 2989, lo que permite a un atacante remoto tomar el control del equipo comprometido.
El backdoor es capaz de cargar y descargar archivos, y de mostrar mensajes al usuario infectado, además de ejecutar otros comandos en forma remota.
El troyano se copia en la carpeta de Inicio de Windows, para ejecutarse en cada reinicio del sistema:
\Windows\StartUp\svchost.exe
El troyano modifica ligeramente el archivo SVCHOST.EXE en cada reinicio.
El troyano no se propaga por si mismo, y podría ser distribuido manualmente, bajo la premisa de que se trata de un programa beneficioso para el usuario.
Los canales de distribución incluyen IRC, redes P2P, grupos de noticias, correo electrónico, etc.
Se trata del primer troyano de puerta trasera para dispositivos handheld Pocket PC OS 5.0 o superior.
El troyano no ha sido detectado en la calle, y solo se ejecuta en unidades basadas en procesadores ARM (ARM es una especificación de procesadores RISC, fabricado por Intel y otros, y utilizado en PocketsPC, etc.)
Windows CE es el sistema operativo usado en dispositivos móviles de 32-bits. Soporta múltiples arquitecturas de CPU y opciones incluidas de comunicación y redes, y es utilizado en terminales Web, dispositivos de acceso a Internet, controladores industriales especializados, computadoras de bolsillo (Pocket PCs), etc.
Para eliminar manualmente este troyano, borre el archivo SVCHOST.EXE de la carpeta Windows\StartUp con el explorador de Pocket PC, y reinicie el dispositivo.
Actualizaciones:
06/08/04 - 08:06 -0300 (Alias: Troj/Brador-A)
Más información:
http://www.vsantivirus.com/brador-a.htmW32/Myfip.A. Se propaga por redes, roba archivos PDFNombre: W32/Myfip.A
Tipo: Gusano
Alias: Myfip, Win32/Myfip.A, W32.Myfip.A
Plataforma: Windows 32-bit
Tamaño: 24,500 bytes
Gusano que se propaga por recursos de redes compartidos, e intenta robar archivos PDF del equipo infectado.
Cuando se ejecuta, crea el siguiente mutex (especie de indicador en memoria que hace las veces de semáforo), para no ejecutarse más de una vez al mismo tiempo:
fjsy
Se copia a si mismo en la siguiente ubicación:
c:\windows\system32\Dfsvc.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Ejecuta el comando FTP de Windows para descargar el siguiente archivo de un servidor en "net918.meibu.com":
ip.domain
Este archivo contiene nombre de servidor, nombre de usuario y contraseña para acceder a otro servidor FTP.
Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Distributed File System = Dfsvc.exe
Busca luego directorios compartidos en redes. Si los encuentra, intenta copiarse en ellos con el siguiente nombre:
Iloveyou.txt.exe
Si el directorio de red requiere autenticación, el gusano intenta conectarse como administrador, usando alguna de las siguientes contraseñas: (ver lista en el link)
Si logra acceder, intentará crear los siguientes archivos:
\\Admin$\system32\temp.txt
\\Admin$\system32\Dfsvc.exe
\\Admin$\system32\dltksvc.exe
Luego registra el archivo DLTKSVC.EXE como un servicio llamado "Distributed Link Tracking Extensions", el cuál ejecuta a DFSVC.EXE con privilegios de administrador.
El gusano busca archivos con extensión PDF en todos los recursos accedidos, y los envía al servidor FTP cuyos datos se encuentran en el archivo IP.DOMAIN descargado antes.
Más información:
http://www.vsantivirus.com/myfip-a.htmW32/Doep.A. Se propaga por redes P2PNombre: W32/Doep.A
Tipo: Gusano de Internet
Alias: Doep.A, Ourtime, W32.Doep.A, W32/Doep.A.worm, W32/Doep.A@p2p, W32/Doep-A, W32/Ourtime!p2p, Win32.HLLW.Poetry, Win32.Ourtime.A, Win32.P2P.Poit.B, Win32/Doep.A, Win32/P2P.Unknown.Worm, Win32:Doep [Wrm], Worm.P2P.Doep.a, Worm.P2P.Doep.A, Worm/Doep.A, Worm/Poetry.A, WORM_DOEP.A, WORM_POIT.A
Plataforma: Windows 32-bit
Tamaño: 61,952 (UPX)
Gusano que se propaga por redes P2P (KaZaa, Overnet, etc.). Se copia en archivos ZIP cuyo tamaño varía de 100 Kb a más de 15 megas.
Cuando se ejecuta, crea el directorio INF dentro de la carpeta System32 de Windows (sin importar la versión de Windows instalada):
c:\windows\system32\Inf
NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).
Luego se copia en dicha carpeta:
c:\windows\system32\Inf\poet.exe
Agrega la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Poet = c:\windows\system32\Inf\poet.exe
La primera vez que se ejecuta, muestra una ventana de error falsa, con el siguiente mensaje:
Warning
Fatal error 15182: cannot open file poet.dll
[ OK ]
Como marca para no volver a mostrar dicha ventana, crea también el siguiente archivo:
c:\windows\system32\poet.log
Dicho archivo contiene el siguiente texto:
Programming is a poetry for our time
Luego, el gusano crea numerosas copias de si mismo en el directorio INF creado antes, y luego modifica el registro para que dicho directorio sea compartido por otros usuarios con las siguientes aplicaciones P2P:
Edonkey2000
Emule
Kazaa
Lphant
Overnet
Si ninguna de estas aplicaciones existe en la máquina infectada, el gusano no se propaga.
El gusano genera archivos .ZIP, conteniendo el archivo de texto README.TXT y una copia de si mismo con la extensión .EXE. En ocasiones, también agrega un archivo con extensión .AVI.
El nombre dado al .ZIP será igual al del archivo .EXE.
Ejemplo:
Archivo .ZIP:
Age of Empires - The age of Kings Crack.zip
Contenido:
readme.txt
Age of Empires - The age of Kings Crack.exe
Cuando se incluye el archivo .AVI, el nombre del AVI será el del ZIP, y el ejecutable siempre será "Codec DIVX 5.1.1.exe".
Ejemplo:
Archivo .ZIP:
Age of Empires - The age of Kings Crack.zip
Contenido:
readme.txt
Age of Empires - The age of Kings Crack.avi
Codec DIVX 5.1.1.exe
El archivo .AVI no es un video válido, y solo contiene ceros. Su tamaño varía, teniendo en ocasiones hasta 15 Mb. El ZIP no está comprimido, por lo que también medirá un tamaño similar.
El archivo README.TXT contiene el nombre del .ZIP o el texto "DIVX 5.1.1", más una cantidad variable de espacios vacíos.
Algunas de las cadenas utilizadas para crear los nombres, las que son combinadas de diferentes formas. No se incluyen todos los textos en esta lista: (IMPORTANTE: ver lista en el link)
El gusano también borra numerosas claves del registro relacionadas con otros virus (Sasser, Netsky, Bagle, Lovgate, etc.):
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
avserve.exe =
avserve2.exe =
Service Host =
Program In Windows =
VFW Encoder/Decoder Settings =
Protected Storage =
BagleAV =
Norton Antivirus AV =
skynetave.exe =
SysMonXP =
ICQ Net =
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
drvsys.exe =
drvddll.exe =
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices
SystemTra =
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell =
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
run =
Más Información:
http://www.vsantivirus.com/doep-a.htmGobot. CGobot.C es un gusano que se extiende a través de redes de intercambio de archivos P2P (entre pares). Tiene capacidad de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC.
Nombre completo: Worm-Backdoor.W32/Gobot.C@P2P
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Se difunde por redes de compartición de ficheros P2P (peer to peer)
Alias:W32/Gobot-C (Sophos)
Gobot.C se copia en la carpeta del sistema de Windows con un nombre aleatorio y crea un valor, también aleatorio, en la siguiente clave del registro para activarse en el inicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Gobot.C se copia con diferentes nombres en las carpetas compartidas en redes de intercambio de archivos y podría sobrescribir archivos existentes.
Gobot.C intentará conecta con un servidor IRC en un canal específico donde aguardará los comandos del atacante.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4146Brador Se trata del primer troyano para el sistema Windows CE (Pocket PC). Este troyano envía la dirección IP del sistema infectado al atacante y abre el puerto TCP 2989. Solo funciona en Windows CE 2.0 o superior.
Nombre completo: Trojan.WinCE/Brador
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [WinCE] - Sistemas operativos de Microsoft para dispositivos portátiles, como PDAs o teléfonos
Windows CE
Alias:Backdoor.Brador.A (Symantec), WinCE/BackDoor-CHK (McAfee), WINCE_BRADOR.A (Trend Micro), Troj/Brador-A (Sophos)
Cuando se ejecuta este troyano hace lo siguiente:
Se copia a sí mismo a Windows/StartUp/Svchost.exe (5632 bytes) para así ejecutarse cada vez que arranca Windows
Intenta enviar la dirección IP del sistema infectado por email hasta que lo consiga.
Abre el puerto TCP 2989 y espera por instrucciones del atacante.
Permite que el atacante realize las siguientes acciones:
Listar el contenido de los directorios
Descargar un fichero
Mostrar un mensaje
Ejecutar cualquier comando especificado
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4144Amus.A Amus.A es un gusano sin efectos destructivos que se propaga a través del correo electrónico, en un mensaje escrito en inglés.
Nombre completo: Worm.W32/Amus@MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Tamaño (bytes): 51782
Alias:W32/Amus.A.worm (Panda Software), WORM_AMUS.A (Trend Micro), Win32/Amus.a (Enciclopedia Virus (Ontinent))
En ocasiones, puede crear en el ángulo superior izquierdo del escritorio un cuadrado blanco de pequeñas dimensiones
Metodo de Infección
Amus.A crea en el directorio de Windows los siguientes archivos, que son copias del gusano:
ADAPAZARI.EXE
ANKARA.EXE
ANTI_VIRUS.EXE
CEKIRGE.EXE
KDZEREGLI.EXE
MASUM.EXE
MESSENGER.EXE
MEYDANBASI.EXE
MY_PICTURES.EXE
PIDE.EXE
PIRE.EXE
Por otro lado, Amus.A también crea en el directorio raiz el archivo MASUM.EXE que, al igual que los anteriores, es una copia del gusano.
Amus.A crea la siguiente entrada en el Registro de Windows:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Microzoft_Ofiz = %windir%\ masum.exe
donde %windir% es el directorio de Windows.
Mediante esta entrada, Amus.A consigue ejecutarse cada vez que Windows se inicia. Adicionalmente, crea la siguiente entrada en el Registro de Windows:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ Masum
Who = "OnEmLi_DeGiL"
Método de Propagación
Amus.A se propaga a través del correo electrónico. Para ello, utiliza su propio motor SMTP y realiza el siguiente proceso:
Llega al ordenador en un mensaje de correo electrónico escrito en inglés, con las siguientes características:
Asunto: Listen and Smile
Contenido: Hey. I beg your pardon. You must listen.
Archivo adjunto: MASUM.EXE
El ordenador queda afectado cuando el usuario ejecuta el archivo adjunto. Intenta recoger direcciones de correo electrónico de la libreta de direcciones de Outlook.
Amus.A está escrito en el lenguaje de programación Visual Basic v6.0. Este gusano tiene un tamaño de 51.782 Bytes y está comprimido mediante yoda's Crypter v1.2.
Amus.A crea un mutex para asegurarse de que no haya más de una copia del gusano ejecutándose al mismo tiempo.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4143
