W32/Mydoom.T. Asunto del mensaje: "photos"Nombre: W32/Mydoom.T
Tipo: Gusano de Internet
Alias: MyDoom.T, Coco.A, I-Worm.Farex.a, I-Worm.Win32.Ratos, W32.Mydoom.Q@mm, W32/Mydoom.R.worm, W32/Mydoom.S@MM, W32/MyDoom-S, Win32.Mydoom.S, Win32.Mydoom.s, Win32/Mydoom.T, WORM_RATOS.A, Surila.B, Bck/Surila.B, Backdoor.Nemog, BackDoor-CHR, BackDoor-CHR.sys, I-Worm.Mydoom.q, Win32/Mydoom.S.Worm, W32/Mydoom.s@MM, BKDR_RATOS.A
Plataforma: Windows 32-bit
Tamaño: 27,136 bytes (UPX)
Variante de este gusano escrito en Visual C++, reportado el 16 de agosto de 2004. Se propaga por correo electrónico utilizando su propio motor SMTP. Tiene fecha de finalización.
Descarga un componente backdoor que actúa como un servidor que permite a un usuario remoto ejecutar ciertas acciones en los equipos infectados. Este componente es identificado como "Surila.B" (ver "Troj/Surila.B. Troyano de acceso remoto",
http://www.vsantivirus.com/troj-surila-b.htm), "BKDR_RATOS.A", "Backdoor.Nemog" o "BackDoor-CHR". Este componente es descargado de alguno de los siguientes sitios:
www .richcolour .com
zenandjuice .com
Estos sitios no están relacionados con los creadores del virus. El archivo descargado es un .GIF o un .JPG, que es copiado con el siguiente nombre en la carpeta de Windows:
winvpn32.exe
El gusano, distribuido originalmente como spam, puede llegar en un mensaje con las siguientes características:
De: [1]+[2]
Donde [1] es uno de los siguientes nombres:
adam
alex
alice
andrew
anna
bill
bob
bob
brenda
brent
brian
claudia
dan
dave
david
debby
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
jose
julie
kevin
leo
linda
maria
mary
matt
michael
mike
peter
ray
robert
sam
sandra
serg
smith
stan
steve
ted
tom
Y [2] puede ser uno de los siguientes dominios:
@t-online.de
@mail.com
@yahoo.com
@hotmail.com
@[dominio del usuario infectado]
Asunto:
- photos
Texto del mensaje:
- LOL!;))))
Datos adjuntos:
photos_arc.exe
Cuando se ejecuta el gusano, se crean los siguientes archivos:
c:\windows\system\winpsd.exe
c:\windows\rasor38a.dll
NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.).
El gusano crea las siguientes entradas en el registro, las primeras para autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
winpsd = c:\windows\system\winpsd.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
winpsd = c:\windows\system\winpsd.exe
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\ComDlg32
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\ComDlg32
HKCU\Software\Microsoft\Internet Explorer
InstaledFlashhMx = "1"
HKLM\SOFTWARE\Microsoft\Internet Explorer
mutexadmin = "1"
mutexname = [letras al azar]
vers = 0x0001003d
Para propagarse, el gusano extrae direcciones de correo de archivos con las siguientes extensiones en el equipo infectado:
.adb
.asp
.dbx
.htm
.php
.pl
.sht
.tbb
.txt
.wab
Esto incluye las bases de mensajes del Outlook y la libreta de direcciones.
El gusano evita enviarse a aquellas direcciones que contengan alguno de los siguientes textos en su nombre:
.gov
.mil
abuse
accoun
acketst
admin
anyone
arin.
avp
berkeley
borlan
bsd
bsd
bugs
certific
contact
example
feste
fido
foo.
fsf.
gnu
gold-certs
google
google
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
linux
listserv
math
mit.e
mozilla
msn.
mydomai
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
secur
sendmail
service
site
soft
somebody
someone
sopho
spam
spm
submit
support
syma
tanford.e
the.bat
unix
unix
upport
usenet
utgers.ed
webmaster
www
www
you
your
Modifica el archivo HOSTS para que el usuario infectado no pueda ingresar a los siguientes sitios (esto impide la actualización de varios antivirus):
avp .com
ca .com
customer .symantec .com
dispatch .mcafee .com
download .mcafee .com
f-secure .com
kaspersky .com
liveupdate .symantec .com
liveupdate .symantecliveupdate .com
mast .mcafee .com
mcafee .com
my-etrust .com
nai .com
networkassociates .com
rads .mcafee .com
secure .nai .com
securityresponse .symantec .com
sophos .com
symantec .com
trendmicro .com
update .symantec .com
updates .symantec .com
us .mcafee .com
viruslist .com
viruslist .com
www .avp .com
www .ca .com
www .f-secure .com
www .kaspersky .com
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .trendmicro .com
www .viruslist .com
Crea el siguiente mutex para no cargarse más de una vez en memoria:
43jfds93872
El gusano finaliza su ejecución si la fecha es 20 de agosto de 2004, 9:11:11 PM (21:11:11 UTC), o posterior.
Más información:
http://www.vsantivirus.com/mydoom-t.htmTroj/Surila.B. Troyano de acceso remotoNombre: Troj/Surila.B
Tipo: Caballo de Troya de acceso remoto
Alias: Backdoor.Nemog, Backdoor.Surila, Backdoor.Surila.A, Backdoor.Surila.b, BackDoor.Surila.C, BackDoor.Surila.D, Backdoor:Win32/Surila, BackDoor-CEB, BackDoor-CEB.sys, BackDoor-CHR, BackDoor-CHR.sys, Bck/Surila.A, Bck/Surila.B, BKDR_RATOS.A, Surila.B, Trojan.Surila, W32/Mydoom.R, W32/Tcpss.A, Win32/Surila.B, Win32:Trojan-gen. {Other}
Plataforma: Windows 32-bit
Tamaño: 139,776 bytes (EXE), 4,096 bytes (SYS)
Este troyano, programado en Visual C++ y comprimido con la herramienta, puede ser descargado y ejecutado por el gusano W32/Mydoom.T (nada impide que el troyano sea descargado y ejecutado por otros métodos).
Solo funciona en equipos con Windows NT, 2000, XP o 2003.
En el caso de la variante detectada junto al Mydoom, la misma es descargada de alguno de los siguientes sitios:
www .richcolour .com
zenandjuice .com
Estos sitios no están relacionados con los creadores del virus. El archivo descargado es un .GIF o un .JPG, que es copiado con el siguiente nombre en la carpeta de Windows:
winvpn32.exe
Cuando se ejecuta, oculta su actividad en la máquina infectada, mientras se instala como un servidor proxy HTTP, y como un servidor relay de SMTP (permite el reenvío de spam). Para ello utiliza un remitente falso, con alguno de los siguientes dominios:
@aol.com
@gmx.net
@hotmail.com
@mail.com
@msn.com
@t-online.de
@yahoo.co.uk
@yahoo.com
Modifica el archivo HOSTS de Windows, para impedir el acceso a los siguientes sitios, todos ellos pertenecientes a fabricantes de antivirus.
Intenta conectarse a numerosos servidores IRC desde donde espera recibir determinados comandos.
Las direcciones IP y los puertos a los que intenta conectarse son los siguientes:
193.19.227.24:4661
205.209.176.220:4661
207.44.142.33:4242
207.44.206.27:4661
207.44.222.47:4661
211.214.161.107:4661
211.233.41.235:4661
212.199.125.36:8080
213.158.119.104:4661
216.127.94.107:4661
218.78.211.62:4661
62.241.53.15:4242
62.241.53.16:4242
62.241.53.17:4242
62.241.53.2:4242
62.241.53.4:4242
64.246.16.11:4661
64.246.18.98:4661
64.246.54.12:3306
65.75.161.70:4661
66.111.43.80:4242
66.90.68.2:6565
66.98.144.100:4242
66.98.192.99:3306
67.15.18.45:3306
67.15.18.57:3306
69.50.187.210:4661
69.50.228.50:4646
69.57.132.8:4661
80.64.179.46:4242
81.23.250.167:4242
81.23.250.169:4242
Utiliza los siguientes puertos para estas conexiones:
3306
4242
4242
4661
8080
Cuando se ejecuta, se copia en la carpeta de inicio del equipo infectado:
[carpeta de inicio]\dx32hhlp.exe
Donde [carpeta de inicio] es tomada del valor asignado a "Common Startup" en la siguiente rama del registro:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Shell Folders
Esto puede ser una de las siguientes carpetas:
* Windows XP, 2000 (español e inglés)
c:\documents and settings
\all users\menú inicio\programas\inicio
c:\documents and settings
\all users\start menu\programs\startup
El troyano crea también los siguientes archivos, el segundo es usado para sus acciones de ocultamiento:
c:\windows\system32\dx32hhlp.exe
c:\windows\system32\dx32hhec.sys
Este componente se instala como un servicio en el equipo de la víctima:
HKLM\SYSTEM\CurrentControlSet\Services\dx32hhec
HKLM\SYSTEM\CurrentControlSet\Services\legacy_dx32hhec
Cuando este servicio se ejecuta, el mismo no puede ser detectado por un antivirus en un modo de escaneo convencional.
También crea las siguientes entradas en el registro:
HKLM\Software\Microsoft\Internet Explorer
mutexadmin = "1"
mutexname = [letras al azar]
vers = 0x0001003d
El troyano modifica el archivo HOSTS, para impedir el acceso a los siguientes sitios:
avp .com
ca .com
customer .symantec .com
dispatch .mcafee .com
download .mcafee .com
f-secure .com
kaspersky .com
liveupdate .symantec .com
liveupdate .symantecliveupdate .com
mast .mcafee .com
mcafee .com
my-etrust .com
nai .com
networkassociates .com
rads .mcafee .com
secure .nai .com
securityresponse .symantec .com
sophos .com
symantec .com
trendmicro .com
update .symantec .com
updates .symantec .com
us .mcafee .com
viruslist .com
viruslist .com
www .avp .com
www .ca .com
www .f-secure .com
www .kaspersky .com
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .trendmicro .com
www .viruslist .com
El troyano abre otros puertos TCP al azar.
Más información:
http://www.vsantivirus.com/troj-surila-b.htmNeveg.C Gusano que se propaga por correo electronico, aplicaciones P2P o al ejecutar el archivo adjunto recibido por correo electronico.
Nombre completo: Worm.W32/Neveg.C@MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
w32
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Tamaño (bytes): 52294
Alias:W32.Neveg.C@mm (Symantec), W32/Neveg.c@MM (McAfee)
Cuando el gusano se ejecuta se copia a la siguiente carpeta con el nombre "services.exe":
C:\Winnt\system
Nota:De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
Para ejecutarse en cada inicio del sistema crea la siguiente clave en el registro de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
que completará con alguno de los siguientes valores:
· ".Prog"="%Windir%\system\services.exe"
· "BuildLab"= "%Windir%\system\services.exe"
· "ccApps"="%Windir%\system\services.exe"
· "FriendlyTypeName"="%Windir%\system\services.exe"
· "Microsoft Visual SourceSafe"="%Windir%\system\services.exe"
· "RegDone"="%Windir%\system\services.exe"
· "TEXTCONV"="%Windir%\system\services.exe"
· "WMAudio"="%Windir%\system\services.exe"
Utiliza su propio motor SMTP para enviarse por correo electronico, buscando direcciones dentro de archivos con las siguientes extensiones y que serán almacenadas en el fichero %System%\Setup32ea.bak:
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.hlp
.htm
.html
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.rtf
.sht
.shtm
.stm
.tbb
.txt
.uin
.vbs
.wab
.wsh
.xls
.xml
Evita enviarse a direcciones que contengan las siguientes cadenas:
.gbl
.gov
.mil
@mcaf
freebsd
gnu.
kaspers
microso
norton
openbsd
symant
Utiliza alguno de los siguientes nombres para enviarse como datos adjuntos, que será mostrado con el icono del programa Adobe Acrobat:
details.exe
doom3demo.exe
files.exe
google.exe
info.exe
install.exe
notes.exe
office.exe
request.exe
result.exe
results.exe
resume.exe
se_files.exe
setup.exe
test.exe
Se copia dentro de carpetas compartidas que contengan las siguientes cadenas en su nombre:
bear
donkey
download
ftp
htdocs
http
icq
kazaa
morpheuslime
mule
my shared folder
shar
shared files
upload
Utiliza los siguientes nombres para copiarse dentro de dichas carpetas:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0.exe
KAV 5.0.exe
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
El gusano realiza ataques de denegación de servicios a los siguientes sitios:
www.2rebrand.com www.designgalaxy.net www.designload.com www.designload.net www.hvr-systems.cc www.procartoonz.com www.real-creative.de Nombres de Ficheros Adjuntos (virus que llegan por correo)
se_files.exe
resume.exe
results.exe
result.exe
request.exe
office.exe
notes.exe
install.exe
info.exe
google.exe
files.exe
doom3demo.exe
details.exe
setup.exe
test.exe
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4180Mywav Gusano que se propaga por correo a direcciones incluidas en la libreta de contactos de Microsoft Outlook y en determinados ficheros ubicados en el sistema.
Añade su contenido a los archivos de extensión .htm o .html que encuentra en todas las unidades del sistema.
Nombre completo: Worm.VBS/Mywav@MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [VBS] - Visual Basic Script
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Tamaño (bytes): 20695
Alias:VBS.Mywav@mm (Symantec)
Cuando Worm.VBS/Mywav@MM es ejecutado, realiza las siguientes acciones:
Presenta un mensaje que contiene el siguiente texto:
This page contained a graphic which require the ActiveX controls,
Please reload or refresh the page and accept the ActiveX
Crea las siguientes copias de sí mismo:
c:\Greeting.htm (con el atributo 'Oculto' activado.
%Windir%\Myvwa.htm
%System%\AyaCute.htm
%Temp%\Normal.html
Notas:
%Windir% es variable. El troyano localiza el directorio de instalación de Windows (por defecto C:\Windows o C:\Winnt) y se replica en esa ubicación.
%System% es variable. El troyano localiza el directorio System y se replica en esa ubicación. Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
%Temp% es variable. El troyano localiza el directorio temporal y guarda el fichero en esa ubicación. Por defecto es C:\Windows\TEMP (Windows 95/98/Me), o C:\WINNT\Temp (Windows NT/2000), o C:\Document and Settings\- nombre de usuario -\Local Settings\Temp (Windows XP).
Analiza el contenido de todas las unidades (fijas, extraibles y de red) en busca de direcciones electrónicas incluidas en ficheros con alguna de las siguientes extensiones:
.htm
.html
.hta
.hte
.htx
Envía un correo con formato HTML que contiene una rutina de VBScript, a las direcciones recopiladas en el paso anterior, así como a todas las incluidas en la libreta de contactos de Microsoft Outlook.
En caso de que en el equipo estén habilitados los componentes ActiveX, se creará el fichero %System%\Lasiaf.html, que contiene una copia del propio gusano.
El mensaje enviado tiene las siguientes características:
Asunto: uno de los siguientes:
Here is your Greeting card from me
<--Lasiaf-Fait Accompli-Myvwa-->
Greeting Card From Me.. ;p
Important! Please reply my Greeting card.
Friendster.. i'm a new comer..
FWD:Would you be my wife?
RE:Your password in this Greeting card
Hye look at this News...
Product Key!
FWD:Selamat menyambut hari kemerdekaan
Re:Good Luck in your exam
Somebody realy need you...
What ? new virus
Tekanan Emosi... Adik beradik gaduh²
U r so cute... i like ur childish personality... Aya... ;p by -Lasiaf in confuse- Greets to: Fait Accompli[myvwa],Nije,Dehe,Bae'i,Asmahani,Atira,Azha,Ema,Erma,Erna and U
Añade a sí mismo a ficheros con extensiones .htm o .html en todas las unidades del sistema, tanto en las fijas como en las extraibles y de red.
Asunto del mensaje (virus que llegan por correo)
Somebody realy need you...
Re:Good Luck in your exam
FWD:Selamat menyambut hari kemerdekaan
Product Key!
Hye look at this News...
RE:Your password in this Greeting card
FWD:Would you be my wife?
Important! Please reply my Greeting card.
Greeting Card From Me.. ;p
<--Lasiaf-Fait Accompli-Myvwa-->
Here is your Greeting card from me
What ? new virus
Tekanan Emosi... Adik beradik gaduh²
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4181Harnig Programa con capacidad para descargar de Internet programas como troyanos, de contenido publicitario o marcadores telefónicos.
Añade una entrada a la agenda telefónica e intenta conectarse a un número de alto coste.
También puede fianlizar la ejecución de varios procesos.
Nombre completo: Downloader.W32/Harnig
Tipo: [Downloader] - Troyano que descarga ficheros (a través de Internet u otras redes) en el sistema atacado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 5120
Alias:Downloader.Harnig (Symantec)
Cuando Downloader.W32/Harnig es ejecutado, realiza las siguientes acciones:
Crea los siguientes ficheros:
%System%\secure32.txt
%Windir%\system.exe
%Windir%\system32\system32.dll
%Windir%\desktop.exe
%Windir%\toolbar.exe
%Windir%\mstasks1.exe
%Windir%\mstasks2.exe
%Windir%\test
%Windir%\seksdialer.exe
%Windir%\system32\wintime.exe
%Windir%\system32\dkdial.exe
%Windir%\system32\dial32.exe
%Windir%\Web\i_xx.gif (donde xx es un número entre 01 y 20.)
%Windir%\Web\desktop.html
Notas:
%Windir% es variable. El troyano localiza el directorio de instalación de Windows (por defecto C:\Windows o C:\Winnt) y se replica en esa ubicación.
%System% es variable. El troyano localiza el directorio System y se replica en esa ubicación. Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado, a la siguiente clave del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor: "Wintime"="Wintime.exe"
Añade los valores indicados a las siguientes claves del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
Valor: "ShellServiceObjectDelayLoadSystem"="{0A323FA1-38DE-44EC-B2FA-4002183C143E}"
Clave: HKEY_CLASSES_ROOT\CLSID\{0A323FA1-38DE-44EC-B2FA-4002183C143E}\InProcServer32
Valor: "(Predefinido)"="%system%\system32.dll"
Claves: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Valores: "MinLevel"="Code Download"
"Safety Warning Level"="SucceedSilent"
"Security_RunActiveXControls"="0x01000000"
"Security_RunScripts"="0x01000000"
"Trust Warning Level"="No Security"
Añade la entrada "New Dialup Connection" a la agenda telefónica RAS (Remote Access Service) y la convierte en entrada por defecto.
A continuación intenta utilizar el módem para conectarse a un número telefónico predeterminado de alto coste y establecer una conexión RAS.
Detiene la ejecución de los siguientes procesos:
MCUPDATE.EXE
CFIAUDIT.EXE
AVXQUAR.EXE
AUTOUPDATE.EXE
AUTOTRACE.EXE
AUTODOWN.EXE
AUPDATE.EXE
NUPGRADE.EXE
UPDATE.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
DRWEBUPW.EXE
LUALL.EXE
AVPUPD.EXE
AVWUPD32.EXE
ATUPDATER.EXE
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4182
