Troj/Boxed.E. Realiza ataques DoS, borra antivirusNombre: Troj/Boxed.E
Tipo: Caballo de Troya
Alias: Boxed.E, Trojan.Boxed.E, Win32/DDoS.Boxed
Fecha: 12/ago/04
Plataforma: Windows 32-bit
Tamaño: 27,206 bytes
Caballo de Troya que realiza ataques de denegación de servicio (DoS) a determinados sitios de Internet. Eso impide el acceso a dichos sitios.
Un ataque DoS (Denial of Service, o denegación de servicio), se produce cuando un servidor o cualquier computadora conectada a Internet, recibe una sucesión de solicitudes de servicio, con tal frecuencia y cantidad, que al no poder ser respondidas, hacen que disminuya paulatinamente el rendimiento del equipo, ocasionando casi siempre la caída del sistema, además de la saturación del ancho de banda asignado.
El troyano también finaliza la ejecución de algunos programas, entre ellos conocidos antivirus.
No se propaga por si mismo, pero puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.
Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios.
Cuando se ejecuta, el troyano intenta borrar los servicios relacionados con algunos antivirus, y con otras versiones del propio troyano:
kavsvc
navapsvc
nwclntc
nwclntd
nwclnte
nwclntf
SAVScan
Symantec Core LC
wuauserv
Luego, se instala él mismo como un servicio:
HKLM\SYSTEM\CurrentControlSet\Services\nwclntg
El troyano utiliza "nwclntg" como nombre del servicio, y "Network Client" como nombre desplegado.
Este servicio se cargará siempre al reiniciarse el equipo.
El troyano se copia a si mismo en la siguiente ubicación:
c:\windows\system\winlogon.exe
NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).
En este caso, la carpeta "system" no varía, sin importar el sistema operativo instalado.
El troyano realiza ataques de denegación de servicio a los siguientes sitios Web:
login .hvr-systems .cc
login .maybirds .org
login .maybugs .com
login .xpseek .com
logout .xpseek .com
mb .hvr-systems .cc
mb .maybirds .org
mb .maybugs .com
mb .xpseek .com
members .hvr-systems .cc
members .maybirds .org
members .maybugs .com
members .xpseek .com
secmemb .xpseek .com
secure .hvr-systems .cc
secure .maybirds .org
secure .maybugs .com
secure .xpseek .com
También modifica el archivo HOSTS para que los siguientes sitios no puedan ser accedidos desde una máquina infectada:
avp .com
ca .com
customer .symantec .com
dispatch .mcafee .com
download .mcafee .com
download .mcafee .com
downloads1 .kaspersky-labs .com
downloads2 .kaspersky-labs .com
downloads3 .kaspersky-labs .com
downloads4 .kaspersky-labs .com
f-secure .com
ids .kaspersky-labs .com
kaspersky .com
kaspersky-labs .com
liveupdate .symantec .com
liveupdate .symantec .com
liveupdate .symantecliveupdate .com
liveupdate .symantecliveupdate .com
mast .mcafee .com
mcafee .com
my-etrust .com
nai .com
networkassociates .com
rads .mcafee .com
secure .nai .com
securityresponse .symantec .com
sophos .com
symantec .com
trendmicro .com
update .symantec .com
update .symantec .com
updates .symantec .com
us .mcafee .com
viruslist .com
www .avp .com
www .ca .com
www .f-secure .com
www .grisoft .com
www .kaspersky .com
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .trendmicro .com
www .viruslist .com
HOSTS (sin extensión alguna), es usado por Windows para asociar nombres de dominio con direcciones IP. Si este archivo existe en c:\windows\ (Windows 95, 98 y Me), o en \system32\drivers\etc\ (Windows NT, 2000 y XP), el sistema lo examina antes de hacer una consulta a un servidor DNS.
Más información:
http://www.vsantivirus.com/troj-boxed-e.htmSymbOS/Mosqit.A. El troyano "Mosquitos"Nombre: SymbOS/Mosqit.A
Tipo: Caballo de Troya de dispositivo PDA
Alias: Mosquitos, Mquito, Mosqit, SymbOS/Mquito, Trojan.Mquito, SymbOS/QDial26, EPOC/Mosqit.A, SymbOS/Mquito.A, SymbOS/Mosqit.A
Fecha: 11/ago/04
Plataforma: SymbOS (EPOC), Nokia Series 60
Tamaño: 267 Kb (instalador), 140 Kb (programa)
Este troyano es una versión crackeada de un juego llamado "Mosquitos", que se ejecuta en dispositivos Symbian Series 60.
Esto afecta dispositivos Smartphone como Nokia series-60, etc. (Smartphone es el nombre dado a la nueva generación de teléfonos móviles que unen varias características en un solo dispositivo, tales como un ayudante personal digital (PDA), cámara, teléfono móvil, etc.)
El juego contiene facilidades para enviar mensajes SMS a ciertos números de tarifa alta, cada vez que el programa es iniciado (SMS es la sigla de "Short Message Service", un correo electrónico que puede ser leído en la pantalla del celular).
El troyano no es una versión troyanizada del juego, la funcionalidad para enviar mensajes SMS ha sido puesta originalmente por el propio fabricante.
Se supone que se trata de alguna clase de protección contra copia, pero la misma no funciona correctamente y la funcionalidad entera es contraproducente para el usuario afectado.
De acuerdo al fabricante, el contrato por las llamadas a números de teléfono de tarifa alta, a los que el programa envía los mensajes, ha finalizado, y aunque las versiones más antiguas del juego continúan enviando mensajes SMS ocultos, esto tiene solo el costo del envío del mensaje propiamente dicho.
Las versiones actuales del juego, no traen esta facilidad, pero las versiones crackeadas de Mosquitos, que siguen enviando estos mensajes, todavía se encuentran (y estarán por largo tiempo), en las redes P2P y otros sitios de descargas ilegales.
Cuando el troyano se ejecuta, muestra un mensaje del cracker, y envía los mensajes SMS. Luego de ello, el juego comienza normalmente.
El mensaje es el siguiente:
FREE VERSION
This version has been
cracked by
SODDOM BIN LOADER
No rights reserved.
Pirate copies are illegal
and offenders will have
lotz of phun!!!
La única modificación que el pirata realizó, es la inclusión del mensaje de referencia.
Este mensaje es mostrado cada vez que el juego se inicia, y la rutina de envío de mensajes no vuelve a ser llamada hasta la próxima ejecución del programa.
La versión pirateada de "Mosquitos", puede llegar en un paquete de instalación de Symbian, con el nombre siguiente:
Mosquitos Cracked by Soddom V2.0.sis
Por supuesto, este archivo es fácilmente renombrable, y podría ser encontrado con otros nombres.
Cuando se instala en un dispositivo compatible, el sistema operativo despliega varios mensajes de advertencia acerca de los posibles peligros que acarrea el instalar aplicaciones no certificadas.
Información:
http://www.vsantivirus.com/symbos-mosqit-a.htmW32/Lovgate.AS. Usa e-mail y recursos compartidosNombre: W32/Lovgate.AS
Tipo: Gusano de Internet
Alias: Lovgate.AS, HLLM.Lovgate.18, I-Worm.LovGate.ah, WORM_LOVGATE.E, I-Worm.Win32.Lovgate.171520, Win32/Lovgate.AS, WORM_LOVGATE.Q
Plataforma: Windows 32-bit
Tamaño: 171,520 bytes (PE Compact + Aspack)
Fecha: 11/ago/04
Gusano que se propaga masivamente por correo electrónico, y recursos compartidos en redes.
Los mensajes infectados pueden tener adjuntos con extensiones .BAT, .CMD, .COM, .EXE, .PIF, .SCR o .ZIP.
Utiliza su propio motor SMTP para enviarse a todos los contactos de la libreta de direcciones de Windows y del Outlook, y a todas las direcciones que extrae de archivos de las máquinas infectadas.
Detalles de los mensajes:
De: [remitente falso]
Asunto: [uno de los siguientes]
Delivery Status Notification (Delay)
Error
Hi
Mail Transaction Failed
Test
Texto del mensaje: [uno de los siguientes]
This is an automatically generated Delivery
Status Notification
THIS IS A WARNING MESSAGE ONLY.
YOU DO NOT NEED TO RESEND YOUR MESSAGE.
Delivery to the following recipient has failed:
The message contains Uniocode characters and has
been sent as a binary attachment.
Mail failed. For further assistance, Please contact!
It's the long-awaited film version of the Broadway hit.
The message sent as a binary attachment.
Datos adjuntos: [nombre]+[extensión]
Donde [nombre] es uno de los siguientes:
body
data
doc
document
file
message
readme
test
text
Y [extensión] una de las siguientes:
.bat
.cmd
.com
.exe
.pif
.scr
También puede incluir adjuntos con extensión .ZIP y cualquier nombre.
Cuando se ejecuta, el gusano crea los siguientes archivos en la máquina infectada:
\update.exe
c:\windows\video.exe
c:\windows\system\hxdef.exe
c:\windows\system\iexplore.exe
c:\windows\system\kernel66.dll
c:\windows\system\msjdbc11.dll
c:\windows\system\odbc16.dll
c:\windows\system\real.exe
c:\windows\system\tkbellexe.exe
c:\windows\system\update_ob.exe
El archivo KERNEL66.DLL es copiado con los atributos de solo lectura, oculto y del sistema (+R +H +S).
NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.).
Modifica las siguientes claves del registro, para que cada intento de abrir un archivo .TXT ejecute al gusano:
HKCR\txtfile\shell\open\command
(Predeterminado) = update_ob.exe %1
HKLM\Software\Classes\txtfile\shell\open\command
(Predeterminado) = update_ob.exe %1
También genera las siguientes entradas en el registro para autoejecutarse en cada reinicio del sistema:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Run = real.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Inc. = iexplorer.exe
Program In Windows = c:\windows\system\iexplore.exe
Protected Storage = rundll32.exe mssign30.dll ondll_reg
Soft Profile Inc = c:\windows\system\hxdef.exe
VFW Encoder/Decoder Settings = rundll32.exe mssign30.dll ondll_reg
WinHelp = c:\windows\system\tkbellexe.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Installed shell32.dll = office.exe
SystemTra = c:\windows\video.exe
En equipos con Windows NT, 2000 y XP, crea también las siguientes entradas:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
Run = real.exe
Crea un archivo con alguno de los siguientes nombres en el raíz de todos las unidades de discos, excepto A y B:
autoexec
daemon tools v3.41
enternet 500 v1.5 rc1
foxmail v5.0.500.0
i386
microsoft office
winamp skub_finalfantasy
windows media player.zip
wingate v5.0.10 build
winiso 5.3
Cada uno de estos archivos tendrá alguna de las siguientes extensiones:
.bat
.cmd
.com
.exe
.pif
.rar
Los archivos comprimidos contienen a su vez, alguno de los otros archivos.
El gusano crea otras copias de si mismo en diferentes carpetas del sistema infectado.
Más información:
http://www.vsantivirus.com/lovgate-as.htmBeasty.INombre completo: Backdoor.W32/Beasty.I
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 30935
Alias:Backdoor.Beasty.I, Win32/Beasty.A
Troyano que actua como puerta trasera en el equipo infectado permitiendo a un intruso el acceso total.
Utiliza ICQ para indicar al atacante que ya esta en funcionamiento, y el puerto TCP 9999 para recibir sus instrucciones.
Cuando Backdoor.W32/Beasty.I es ejecutado, realiza las siguientes acciones:
1. Muestra un mensaje en una ventana con las siguietnes características:
Título: Information
Texto: Security File successful installed.
2. Copia los siguientes ficheros en el directorio %System%:
* mspuep.com
* mslg.blf
Nota: %System% es variable. El troyano localiza el directorio System y se replica en esa ubicación. Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
3. Copia el fichero e-gold.exe, en el directorio %Windir%.
Nota: %Windir% es variable. El troyano localiza el directorio de instalación de Windows (por defecto C:\Windows o C:\Winnt) y se replica en esa ubicación.
4. Se copia a sí mismo como %Windir%\msagent\msdrce.com.
Nota: En alguno sistemas operativos (por ejemplo en Windows 2000), el fichero podría copiarse en el directorio %System% en lugar de en el indicado anteriormente.
5. Podría añadir el valor indicado a las siguientes claves del registro de Windows:
Claves:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Valor: "COM Service"="%Windir%\msagent\msdrce.com"
6. Crea la siguiente clave en el registro de Windows:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\
{42CE4021-DE03-E3CC-EA32-40BB12E6015D}
7. Utiliza ICQ para notificar al autor del código, el hecho de que el troyano se esta ejecutando.
8. Abre el puerto TCP 9999 y queda en espera de recibir comandos procedentes del atacante.
9. El intruso, podría realizar cualquiera de las siguientes acciones en el equipo infectado:
* Subir, descargar y eliminar ficheros.
* Manipular los atributos de los ficheros (Oculto, de Sistema y Sólo lectura).
* Lanzar la ejecución de aplicaciones.
* Modificar el registro de Windows.
* Detener procesos.
* Realizar capturas de pantalla.
* Realizar varias acciones molestas como la apertura y cierre de la bandeja de la unidad de CD-ROM.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4165Annil.GNombre completo: Worm.W32/Annil.G@P2P+MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [P2P+MM] - Se propaga por redes P2P y correo electrónico
Alias:Win32/Annil.G, W32/Annil-G, I-Worm.Annil.g
Gusano con capacidad para propagarse mediante el envío de correo electrónico a direcciones incluidas en ficheros en el equipo infectado, y a través de redes de intercambio de ficheros (P2P).
Cuando Worm.W32/Annil.G@P2P+MM es ejecutado, realiza las siguientes acciones:
1. Crea varias copias de sí mismo utilizando nombres al azar dentro de los siguientes directorios:
* - directorio donde se ejecute -
* \Shared
* \Archivos de programa\
* \Mis Documentos\
2. Durante su ejecución, muestra en pantalla una ventana con el siguiente mensaje:
File execution aborted: Unable to find MFC42.dll
aunque puede continuar ejecutándose en un segundo plano (background).
3. Busca ficheros que contengan direcciones de correo electrónico.
A las direcciones encontradas, se envía un correo electrónico con una copia del gusano como fichero adjunto.
Utiliza su propio motor SMTP para enviar un mensaje con las siguientes características:
Fichero Adjunto: - nombre al azar escogido de una lista predeterminada - Cuerpo del mensaje: alguno de los siguientes
New Billing
user,
We have started charging for our outgoing email
and payment is expected immediately.
Your invoice is attached.
Dear
Account Closure
user,
Your account is being closed due to your sending
of the following file. See attachment, we have
strict rules on pornography.
Viral Infection
was recently attacked by hackers which resulted
in a virus being activated on the server.
Please read the instructions on how to remove any viruses.
Attention:
Policy Reminder
Automated Reply: You are approaching your allocated data
limit for the month, a log of your recent activity
is attached.
Re: Help
Automated Reply: Thank you for your concerns, you
requested information is attached. Downtime will be down
for server repairs tommorow from (2AM - 6AM).
It is suggested you backup your address book,
instructions have been included as an attachment.
If you"ve been wondering why I haven"t been staying in
touch lately, it"s because I"ve been working on a program
in my spare time. I"ve finally got it to a testable state,
and was wondering if you could give me feedback on it.
Thanks in advance.
I hope you"re the one who asked for this, I don"t really
remember, but thought I might as well send it anyway.
Well a lot of people haven"t heard very much about my
"injury", but my insurance company said I should give this
to everybody I know.
Run it and you"ll understand everything.
Attention, Windows user:
We have detected a security gap within Windows internal
dll"s, we suggest all users run this program which seals
the gap. Otherwise, any damaged data will not be
compinsated for by Microsoft.
Sorry, I think I was supposed to send this earlier
Will this work for tommorow?
cool huh?
Ha. Remember this guy?
I"m typing this in a hurry, because I"ve got to go right
away. But my computer was infected by the Klez virus,
and I didn"t realize it until a few days ago.
You may have been infected as well. I apoligize!.
This nifty little program fixes everything if you have
in fact, been infected.
Hey, I managed to get your password for your e-mail.
I suggest you use this utility (I attached it) to
fortify your account and you can also use it to retrieve
other peoples passwords (don"t try it on me, since
I already used it to protect mine). I"ll keep my name
secret, I don"t want to get sued
. BTW, I"m sending
this to more people than just you, but
I used it on multiple people.
Hey, I found this on Download.com a while ago and forgot
to send it too you. I thought you may be interested.
It should be attached, if it isn"t just e-mail me again.
The following message could not be sent because the
recipients mailbox was full.
Security Signature: 188X-08305-RETNMAIL
The following message could not be sent because the
recipients mailbox was no longer available.
Security Signature: 165X-08605-RETNMAIL
The following message could not be sent because the
recipients mailbox was full.
Security Signature: 165X-08605-UNDLVRMAIL
Can you tell me what this is?
We have started a new billing procedure, see the attached
invoice for more information.
This message must have been sent to me by mistake,
appearantly it"s meant for you. Don"t worry I didn"t
read all of it
.
Your dad told me to send this to you, i think you"ll
understand.
I thought you might enjoy this. Birds are so funny.
Outlook:Secure text document attached.
I got this from my dad"s old attorney, he said it
could be very useful to you.
I did a search for your name and I think someone
faked your emode.com test results. See what you think:
Results automatically attached.
I have good reasoning! See the image quickly!
Evidence!
Why do you let the kids play this awful game?
The bomb threat you may get today might be real,
see the image:
Someone wants me to report this without giving names.
This demands immediate attention.
Everytime I type the address it keeps redirecting
me to this file.
I can"t seem to get the site working, it always sends
me to a URL with this file. What"s wrong?
Sorry to bother you, but when I try to load the site
it always gives me this file.
Everytime I try to load the site I get sent this file.
Is there any way to keep it from sending me this file?
Thanks.
Keeps dloading this.
It directs me to this file.
4. Worm.W32/Annil.G@P2P+MM intenta cerrar ventanas que hagan referencia a algún antivirus.
5. En aplicaciones de intercambio de ficheros (P2P) desactiva la opción que evita la descarga de archivos ejecutables.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4166Busan.CNombre completo: Worm.W32/Busan.C@SMB
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [SMB] - Se difunde por carpetas compartidas de red de Microsoft
Alias:Win32/Busan.C, W32/Busan-C, Worm.Win32.Busan.e, W32/Busan.worm.d
Gusano cuya propagación se realiza mediante carpetas compartidas en red.
Intenta descargar códigos maliciosos de Internet, y capturar claves que luego podría enviar a un ordenador remoto.
Cuando Worm.W32/Busan.C@SMB es ejecutado, realiza las siguientes acciones:
1. Crea una copia de sí mismo en el fichero C:\WINDOWS\system.exe.
2. Crea los siguientes archivos dentro de la misma carpeta:
* mhx32.dll
* mhd32.dll
* mprx.exe
Nota: De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
3. Para ser activado cada vez que se accede a un archivo ejecutable, realiza la siguiente modificación en el registro de Windows:
Clave: HKCR\exefile\shell\open\command\
Valor: Predeterminado = system.exe "%1" %*
4. Se copia en la carpeta compartida \C:\Windows\All Users\ con el nombre "auto.exe".
5. También puede realizar las siguientes acciones:
* Descargar varios componentes.
* Interceptar comunicaciones.
* Almacenar las claves capturadas y transmitirla a un equipo remoto.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4164LeritandNombre completo: Trojan.W32/Leritand
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 10822
Alias:Trj/Leritand.A
Leritand.A es un troyano que cambia el prefijo de las direcciones web que comienzan por www, redireccionándolas a un sitio web que se encarga de abrir la página web originalmente solicitada por el usuario. Aunque esta redirección no parece tener ninguna consecuencia directa, puede ser utilizada para monitorizar las páginas web visitadas, intentar explotar vulnerabilidades, mostrar publicidad, etc.
Además, Leritand.A desactiva los manipuladores URL de los protocolos its, ms-its y mhtml. En un primer momento, esto puede parecer un efecto positivo, ya que son éstos los protocolos afectados por la vulnerabilidad descrita por Microsoft en el boletín MS04-013, y que permite la ejecución de código arbitrario en el ordenador afectado. Sin embargo, la desactivación de dichos protocolos provocaría que algunos sistemas de ayuda dejaran de funcionar.
Adicionalmente, Leritand.A cambia la página de inicio y de búsqueda por defecto del navegador Internet Explorer, y añade enlaces a la carpeta Favoritos.
Efectos:
Desactivación de los manipuladores URL de los protocolos its, ms-its y mhtml.
En un primer momento, esto puede parecer un efecto positivo, ya que son éstos los protocolos afectados por la vulnerabilidad descrita por Microsoft en el boletín MS04-013, y que permite la ejecución de código arbitrario en el ordenador afectado.
Sin embargo, la desactivación de dichos protocolos provocaría que algunos sistemas de ayuda dejaran de funcionar.
Cambio del prefijo de las direcciones web que comienzan por www, cambiando http:// por
http://69.50.191.50/, con lo que consigue redireccionarlas a un sitio web distinto del deseado.
Dicho sitio web se encarga de abrir la página web originalmente solicitada por el usuario, que no percibe ningún comportamiento extraño.
Aunque esta redirección no parece tener ninguna consecuencia directa, puede ser utilizada para monitorizar las páginas web visitadas, intentar explotar vulnerabilidades, mostrar publicidad, etc.
Cambio de la página de inicio y de búsqueda por defecto del navegador Internet Explorer. Accesos directos nuevos en la carpeta Favoritos, con los siguientes nombres:
* Sex
* Teens Anal Fucking
Metodo de Infección
Leritand crea los archivos SVCHOST.EXE y SETDBG.EXE en el directorio de Windows. Estos archivos son copias del troyano. También crea la siguiente entrada en el Registro de Windows:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
svchost = %windir%\ svchost.exe
donde %windir% es el directorio de Windows. Mediante esta entrada, Leritand.A consigue ejecutarse cada vez que Windows se inicia.
Leritand.A modifica las siguientes entradas del Registro de Windows:
HKEY_CLASSES_ROOT\ exefile\ shell\ open\ command
(Predeterminado) = "%1" %*
Cambia esta entrada por:
HKEY_CLASSES_ROOT\ exefile\ shell\ open\ command
(Predeterminado) = %windir%\ setdbg.exe "%1" %*
Mediante esta modificación, Leritand se activa cada vez que un archivo con extensión EXE es ejecutado.
HKEY_CLASSES_ROOT\ PROTOCOLS\ Handler\ its\ CLSID
HKEY_CLASSES_ROOT\ PROTOCOLS\ Handler\ ms-its\ CLSID
HKEY_CLASSES_ROOT\ PROTOCOLS\ Handler\ mhtml\ CLSID
Cambia estas rutas por:
HKEY_CLASSES_ROOT\ PROTOCOLS\ Handler\ its\ CLSID0
HKEY_CLASSES_ROOT\ PROTOCOLS\ Handler\ ms-its\ CLSID0
HKEY_CLASSES_ROOT\ PROTOCOLS\ Handler\ mhtml\ CLSID0
Modificando estas entradas, Leritand desactiva los manipuladores de URLs de los protocolos its, ms-its y mhtml.
Método de Propagación
Leritand.A no se propaga automáticamente por sus propios medios, sino que precisa de la intervención del usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con ficheros adjuntos, descargas de Internet, transferencia de ficheros a través de FTP, canales IRC, redes de intercambio de ficheros, etc.
Otros Detalles
Leritand tiene un tamaño de 10822 Bytes y está cifrado mediante Yoda's Crypter.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4168NetsnakeNombre completo: Trojan.W32/Netsnake
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:TROJ_NETSNAKE.A
Troyano que se conecta al sitio web en 172.23.33.110 (inactivo en el momento de escribir este análisis) , donde sube ciertos ficheros del PC infectado, y descarga otros que ejecuta localmente.
Este troyano crea el fichero %System%\INTERNAT.EXE, donde %System% es la carpeta de sistema de Windows, normalmente C:\WINDOWS\SYSTEM32 en Windows XP. Nótese que hay un archivo de Windows con el mismo nombre.
A continuación crea plantillas de Microsoft Word y Excel en la carpeta %Windows%\Shellnew. También puede copiar fichero con nombre X*.doc de este sitio.
Intenta conectarse al sitio web en 172.23.33.110 y subir ficheros X*.doc de la carpeta %Windows%\Shellnew a este sitio.
Descarga un fichero llamado SCRIPTS.VBS del mismo sitio y lo ejecuta en el sistema infectado.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4169
