Autor Tema: 14 de agosto, virus  (Leído 2956 veces)

Desconectado Miyu

  • Pro Member
  • ****
  • Mensajes: 508
14 de agosto, virus
« en: 14 de Agosto de 2004, 11:22:59 am »
Troj/Melcarr.A. Captura el teclado del usuario (querrá decir que captura "las pulsaciones" del teclado, porque si no vaya tela :lol: )
Nombre: Troj/Melcarr.A
Tipo: Gusano de Internet Caballo de Troya de acceso remoto
Alias: Melcarr, Keylog-Melcarr, Win32/Keylogger.Melcarr.A
Fecha: 11/ago/04
Plataforma: Windows 32-bit
Tamaño: 43,520 bytes
 Este troyano captura la salida del teclado del usuario infectado, almacena todas las teclas pulsadas en un archivo, y envía esta información a una computadora remota.
También contiene su propio motor SMTP para enviar los datos capturados a un usuario remoto.
Además, puede enviar estos datos vía HTTP a un archivo PHP remoto.

Note que información capturada incluye nombres de usuario, contraseña, y toda información personal ingresada por el teclado (tarjeta de crédito, cuentas bancarias, etc.)
El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.
Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios.
Cuando se ejecuta, el troyano se copia con un nombre al azar en la carpeta del sistema:

    c:\windows\system\[nombre]

NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio del sistema:

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    [nombre al azar] = [nombre del troyano]

También crea en la misma carpeta del ejecutable, un archivo con extensión .DLL. Este archivo en realidad contiene todo lo capturado desde el teclado.
Este archivo es el enviado al atacante por los medios indicados antes.
El troyano también puede enviar la información del sistema infectado (versión del sistema operativo, caché de contraseñas, y datos como espacio en disco, velocidad del procesador, etc.)
Más información: http://www.vsantivirus.com/troj-melcarr-a.htm


Troj/Cargao.B. Envía mensaje, descarga archivos
Nombre: Troj/Cargao.B
Tipo: Caballo de Troya
Alias: Cargao.B, Trojan.Cargao.B, Win32/TrojanDropper.Cargao.B
Fecha: 13/ago/04
Plataforma: Windows 32-bit
Tamaño: 126,464 bytes
 Este caballo de Troya, envía mensajes a todas los usuarios que encuentre en la libreta de direcciones de Microsoft Outlook y Outlook Express.
También es capaz de descargar y ejecutar otros archivos de Internet.
El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.
Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios.
Un binder (programa capaz de unir dos o más archivos en un solo ejecutable, también conocido como Joiner, Juntador, Trojan-Dropper, Dropper, etc.), puede juntar el troyano con un archivo legítimo.
El binder permite que el archivo malicioso sea ejecutado cuando un programa legítimo es llamado por el usuario, sin que éste tenga conocimiento de su ejecución.
El binder también libera ambos archivos dentro de la carpeta TEMP y los ejecuta.
NOTA: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.

Cuando el troyano se ejecuta, crea el siguiente archivo:
    C:\Arquivos de Programas\Arquivos Comuns\appconn32.exe

Este archivo debería tener un tamaño de 126,464 bytes, pero debido a un error en el código, puede expandirse hasta llenar el espacio libre del disco duro, provocando el fallo de Windows.
El troyano también intenta descargar archivos del siguiente sitio:
    virtualcards.serveftp.com

Luego, los graba en la siguiente carpeta:
    C:\Arquivos de Programas\Arquivos Comuns\

Los archivos pueden tener los siguientes nombres:
    appconn32.exe
    cartao4596724064AC298.exe
    lsacvn.dll
    lsacvn.exe
Envía un correo electrónico a todos los contactos de la libreta de direcciones, con el siguiente asunto:

    Asunto: [remitente] te enviou um cartão

Donde [remitente] es el nombre de la dirección del usuario infectado (lo que está delante de la arroba).
El texto del mensaje es un contenido HTML con enlaces a numerosos sitios de Internet.
Más información: http://www.vsantivirus.com/troj-cargao-b.htm


Netzzak
Nombre completo: Trojan.W32/Netzzak    
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:TROJ_NETZZAK.A
 Troyano que descarga desde Internet, copias de sí mismo y otros componentes.
El autor del troyano esta continuamente subiendo actualizaciones del código al sitio web desde el que se descarga.
Instalación y Autoarranque
Trojan.W32/Netzzak llega normalmente como MICON.EXE (61.440 bytes), haciéndose pasar un programa editor de iconos.
Cuando es ejecutado, descarga otros componentes del sitio http://www.z- ** bloqueado ** -c.co.kr/makeicon.
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade los valores indicados a las siguientes claves del registro de Windows:
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Valores: Windows MIcon=%System%\MIcon.exe
         - número aleatorio -=%System%netpia.exe
         - número aleatorio -=%System%mpus.exe
         - número aleatorio -=%System%unsmss.exe

Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run
Valores: Windows MIcon=%System%\MIcon.exe
         - número aleatorio -=%System%netpia.exe
         - número aleatorio -=%System%mpus.exe
         - número aleatorio -=%System%unsmss.exe

Descargador
El troyano descarga los siguientes componentes en el sistema infectado:
    * unsmss.exe (20.480 bytes) Este fichero monitoriza el registro para ver si se han eliminado las entradas referentes a su autoarranque, restaurándola en tal caso.
    * miconw.exe (45.056 bytes)
    * netpia.exe (45.056 bytes)
    * mpus.exe (40.960 bytes)

Los tres últimos ficheros son copias del troyano, que descargan otra copia del sitio http://www.z- ** bloqueado ** -c.co.kr/makeicon.
Los ficheros descargados cambian constantemente su nombre.
Otros detalles
Requiere la rutina de ejecución MSVBVM60.dll de Visual Basic 6.0 para funcionar adecuadamente.
El autor de este código esta constantemente subiendo actualizaciones del troyano al sitio web desde el que se descarga.
Más información: http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4174

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 15865
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
14 de agosto, virus
« Respuesta #1 en: 14 de Agosto de 2004, 01:23:30 pm »
Gracias miyu.....   :wink:

Un saludo

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License