W32/Neveg.A. Se propaga masivamente por e-mail y P2PNombre: W32/Neveg.A
Tipo: Gusano de Internet
Alias: Neveg.A, I-Worm.Neveg.a, I-Worm.Neveg.A, I-Worm/Neveg.A, W32.Neveg.A@mm, W32/Neveg.A.worm, W32/Neveg.a@MM, Win32.Neveg.A, Win32.Worm.Neveg.A, Worm/Neveg.A
Plataforma: Windows 32-bit
Tamaño: 40,518 bytes
Gusano de envío masivo por correo electrónico y redes P2P, reportado el 17 de agosto de 2004.
Compilado con Microsoft Visual C++, su código está protegido contra posibles desbordamientos de búfer. Su ejecutable, está comprimido con las herramientas Yoda y UPX.
Utiliza mensajes con estas características:
Datos adjuntos: [uno de los siguientes]
details.exe
doom3demo.exe
files.exe
google.exe
info.exe
install.exe
notes.exe
office.exe
request.exe
result.exe
results.exe
resume.exe
se_files.exe
setup.exe
test.exe
Cuando se ejecuta, crea un mutex para no cargarse más de una vez en memoria:
4D36E64A-W325-121E-BFC1-080C2BE11318
Se copia a si mismo en la siguiente ubicación:
c:\windows\system\winlogon.exe
NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).
En este caso, la carpeta "system" no varía, sin importar el sistema operativo instalado.
Crea una clave en el registro para autoejecutarse en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
[clave] = c:\windows\system\winlogon.exe
Donde [clave] puede ser una de las siguientes:
.Prog
BuildLab
ccApps
FriendlyTypeName
Microsoft Visual SourceSafe
RegDone
TEXTCONV
WMAudio
Busca direcciones para enviar sus mensajes infectados, en todos los archivos de cada máquina infectada, pero ignora aquellos con las siguientes extensiones:
.avi
.bmp
.cab
.com
.chm
.dll
.drv
.exe
.fon
.gif
.hlp
.hlp
.jar
.jpg
.mpg
.msi
.rar
.swf
.sys
.ttf
.vxd
.wma
.zip
También ignora direcciones conteniendo los siguientes textos:
.gov
.mil
@mcaf
freebsd
gnu.
kaspers
microso
norton
openbsd
symant
Las direcciones son almacenadas en el siguiente archivo:
c:\windows\system\setup32ea.bak
Para copiarse en las carpetas de conocidos programas de intercambio de archivos entre usuarios (P2P), el gusano busca todas aquellas que contengan las siguientes cadenas en sus nombres:
bear
donkey
download
ftp
htdocs
http
icq
kazaa
morpheuslime
mule
my shared folder
shar
shared files
upload
Y se copia en cada una de las carpetas encontradas con los siguientes nombres:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0.exe
KAV 5.0.exe
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
El gusano puede realizar ataques de denegación de servicio a los siguientes sitios Web:
www .2rebrand .com
www .designgalaxy .net
www .designload
www .designload .com
www .hvr-systems .cc
www .procartoonz .com
www .real-creative .de
Más información:
http://www.vsantivirus.com/neveg-a.htmW32/Neveg.B. Se propaga masivamente por e-mail y P2PNombre: W32/Neveg.B
Tipo: Gusano de Internet
Alias: Neveg.B, Doyi, Cali, W32/Doyi.A, W32/Neveg.B, W32.Neveg.B@mm, W32/Neveg.b@MM, Win32/Doyi.A, Cali.A, W32/Cali-A, W32/Cali@MM, I-Worm.Neveg.b
Plataforma: Windows 32-bit
Tamaño: 51,270 bytes
Este gusano de envío masivo por correo electrónico y redes P2P, fue reportado el 10 de agosto de 2004, en principio con el nombre de Doyi.A (Nod32). El 17 de agosto otros fabricantes lo identificaron como Neveg.B, y por ello esta actualización de su descripción.
Compilado con Microsoft Visual C++, su código está protegido contra posibles desbordamientos de búfer. Su ejecutable, está comprimido con las herramientas Yoda y UPX.
Utiliza mensajes con estas características:
Datos adjuntos: [uno de los siguientes]
details.exe
doom3demo.exe
files.exe
google.exe
info.exe
install.exe
notes.exe
office.exe
request.exe
result.exe
results.exe
resume.exe
se_files.exe
setup.exe
test.exe
El archivo muestra el icono característico de Adobe Acrobat.
Cuando se ejecuta, crea un mutex para no cargarse más de una vez en memoria:
4D36E64A-W325-121E-BFC1-080C2BE11318
Se copia a si mismo en la siguiente ubicación:
c:\windows\system\services.exe
NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).
En este caso, la carpeta "system" no varía, sin importar el sistema operativo instalado.
Crea una clave en el registro para autoejecutarse en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
[clave] = c:\windows\system\services.exe
Donde [clave] puede ser una de las siguientes:
.Prog
BuildLab
ccApps
FriendlyTypeName
Microsoft Visual SourceSafe
RegDone
TEXTCONV
WMAudio
Busca direcciones para enviar sus mensajes infectados, en todos los archivos de cada máquina infectada, pero ignora aquellos con las siguientes extensiones:
.avi
.bmp
.cab
.com
.chm
.dll
.drv
.exe
.fon
.gif
.hlp
.hlp
.jar
.jpg
.mpg
.msi
.rar
.swf
.sys
.ttf
.vxd
.wma
.zip
También ignora direcciones conteniendo los siguientes textos:
.gov
.mil
@mcaf
freebsd
gnu.
kaspers
microso
norton
openbsd
symant
Las direcciones son almacenadas en el siguiente archivo:
c:\windows\system\Setup32ea.bak
Para copiarse en las carpetas de conocidos programas de intercambio de archivos entre usuarios (P2P), el gusano busca todas aquellas que contengan las siguientes cadenas en sus nombres:
bear
donkey
download
ftp
htdocs
http
icq
kazaa
morpheuslime
mule
my shared folder
shar
shared files
upload
Y se copia en cada una de las carpetas encontradas con los siguientes nombres:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0.exe
KAV 5.0.exe
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
El gusano puede realizar ataques de denegación de servicio a los siguientes sitios Web:
www .2rebrand .com
www .designgalaxy .net
www .designload
www .designload .com
www .hvr-systems .cc
www .procartoonz .com
www .real-creative .de
Más información:
http://www.vsantivirus.com/neveg-b.htmW32/Neveg.C. Se propaga masivamente por e-mail y P2PNombre: W32/Neveg.C
Tipo: Gusano de Internet
Alias: Neveg.C, W32.Neveg.C@mm, W32/Nevag.c@MM, WORM_NEVEG.C, W32/Nevag.C, W32/Neveg.C.worm, I-Worm/Neveg.C
Plataforma: Windows 32-bit
Tamaño: 52,294 bytes
Gusano de envío masivo por correo electrónico y redes P2P, reportado el 17 de agosto de 2004.
Compilado con Microsoft Visual C++, su código está protegido contra posibles desbordamientos de búfer. Su ejecutable, está comprimido con las herramientas Yoda y UPX.
Utiliza mensajes con estas características:
Datos adjuntos: [uno de los siguientes]
details.exe
doom3demo.exe
files.exe
google.exe
info.exe
install.exe
notes.exe
office.exe
request.exe
result.exe
results.exe
resume.exe
se_files.exe
setup.exe
test.exe
El archivo muestra el icono característico de Adobe Acrobat.
Cuando se ejecuta, crea un mutex para no cargarse más de una vez en memoria:
4D36E64A-W325-121E-BFC1-080C2BE11318
Se copia a si mismo en la siguiente ubicación:
c:\windows\system\services.exe
NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).
En este caso, la carpeta "system" no varía, sin importar el sistema operativo instalado.
Crea una clave en el registro para autoejecutarse en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
[clave] = c:\windows\system\services.exe
Donde [clave] puede ser una de las siguientes:
.Prog
BuildLab
ccApps
FriendlyTypeName
Microsoft Visual SourceSafe
RegDone
TEXTCONV
WMAudio
Busca direcciones para enviar sus mensajes infectados, en todos los archivos de cada máquina infectada, pero ignora aquellos con las siguientes extensiones:
.avi
.bmp
.cab
.com
.chm
.dll
.drv
.exe
.fon
.gif
.hlp
.hlp
.jar
.jpg
.mpg
.msi
.rar
.swf
.sys
.ttf
.vxd
.wma
.zip
También ignora direcciones conteniendo los siguientes textos:
.gov
.mil
@mcaf
freebsd
gnu.
kaspers
microso
norton
openbsd
symant
Las direcciones son almacenadas en el siguiente archivo:
c:\windows\system\Setup32ea.bak
Para copiarse en las carpetas de conocidos programas de intercambio de archivos entre usuarios (P2P), el gusano busca todas aquellas que contengan las siguientes cadenas en sus nombres:
bear
donkey
download
ftp
htdocs
http
icq
kazaa
morpheuslime
mule
my shared folder
shar
shared files
upload
Y se copia en cada una de las carpetas encontradas con los siguientes nombres:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0.exe
KAV 5.0.exe
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
El gusano puede realizar ataques de denegación de servicio a los siguientes sitios Web:
www .2rebrand .com
www .designgalaxy .net
www .designload
www .designload .com
www .hvr-systems .cc
www .procartoonz .com
www .real-creative .de
Más información:
http://www.vsantivirus.com/neveg-c.htmBagle.AJ De igual forma que las versiones anteriores de BAGLE, este gusano residente en memoria, se propaga por correo electrónico utilizando su propio motor de envío SMTP.
Recopila direcciones de correo desde ciretos tipos de archivo existentes en la máquina infectada y trata de evitar replicarse sobre direcciones que contengan determinadas cadenas de texto que el autor ha considerado no convenientes.
Usando técnicas de ingeniería sociale, este gusano envía un correo electrónico con el nombre de un remitente falsificado. El mensaje enviado tendrá contenidos variables en los campos Asunto, Cuerpo del Mensaje, y Nombre del fichero Adjunto.
Además de propagarse por correo, también posee capacidades para configurar una puerta trasera (Backdoor) de acceso a la máquina infectada. Para evitar ser detectado, será capaz de finalizar ciertos tipos de procesos relacionados con programas de seguridad como Firewall y Antivirus.
Notifica al autor cada nueva infección enviando la información recopilada en cada máquina a ciertas direcciones web.
Además, intenta suprimir ciertas entradas de registro relacionadas con variantes NETSKY y crear procesos (mutex) que impidan que algunas variantes del su competidor, el gusano NETSKY, puedan ejecutarse.
Nombre completo: Worm.W32/Bagle.AJ@MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
w32
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Tamaño (bytes): 140768
Alias: WORM_BAGLE.AJ (Trend Micro), W32.Beagle.AP@mm (Symantec)
Cuando se ejecuta realiza las siguientes tareas:
Descarga copias de sí mismo en la carpeta del sistema de Windows, con los siguientes nombres de fichero:
drvddll.exe
drvddll.exeopen
drvddll.exeopenopen - Copia comprimida del gusano protegida por una clave.
drvddll.exeopenopenopen - Contiene la clave de descompresión del fichero anterior en un fichero en formato .BMP
drvddll.exeopenopenopenopen - Cadena de texto aleatoria
Crea la siguiente entrada en el registro indicado, para asegurarse su propia ejecución junto al arranque de Windows:
HKEY_CURRENT_USER\Software\Microsoft
Windows\CurrentVersion\Run
drvddll.exe = "%System%\drvddll.exe"
Nota: %System% representa la carpeta del sistema de Windows. Normalmente será: C:\Windows\System en Windows 95, 98 y ME, C:\WINNT\System32 en Windows NT y 2000, y C:\Windows\System32 para Windows XP.)
Propagación vía correo
Para su propagación por correo realizará las siguientes acciones:
El gusano utiliza su propio motor SMTP (Simple Mail Transfer Protocol) para enviarse a sí mismo sobre direcciones recopiladas de ficheros existentes en la máquina infectada que tengan las siguientes extensiones de fichero:
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
Intentará evitar enviarse a aquellas direcciones recopiladas que contengan alguna de las siguientes cadenas de texto:
@avp.
@foo
@iana
@messagelab
@microsoft
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip
El mensaje enviado tendrá las siguietes características:
Remitente: Direccion falsificada
Asunto: Algunos de los siguientes:
Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Notification
Changes..
New changes
Hidden message
Fax Message Received
Protected message
RE: Protected message
Forum notify
Site changes
Re: Hi
Encrypted document
Mensaje: Alguno de los siguientes:
Animals
foto3
fotogalary
fotoinfo
Lovely animals
Predators
Screen
The snake
For security reasons attached file is password protected. The password is [imagen bitmap]
For security purposes the attached file is password protected. Password -- [imagen bitmap]
Note: Use password [imagen bitmap] to open archive.
Attached file is protected with the password for security reasons. Password is [imagen bitmap]
In order to read the attach you have to use the following password: [imagen bitmap]
Archive password: [imagen bitmap]
Password - [imagen bitmap]
Password: [imagen bitmap]
Adjunto: Alguno de los siguientes:
Alive_condom
Cat
Cool_MP3
Counter_strike
Details
Document
Dog
Doll
Fish
Garry
Half_Live
I_search_for_you
Information Details
Loves_money
Manufacture
Manufacture
Message
MoreInfo
MP3
Music_MP3
Nervous_illnesses
New_MP3_Player
Readme
Smoke
text_document
the_message
the_message
You_are_dismissed
You_will_answer_to_me
Your_complaint
Your_money
Information
Details
text_document
Readme
Document
Info
the_message
Details
MoreInfo
Message
You_will_answer_to_me
Half_Live
Counter_strike
Loves_money
the_message
Alive_condom
Joke
Toy
Nervous_illnesses
Manufacture
You_are_dismissed
Con alguna de las siguientes extensiones:
.com
.cpl
.exe
.scr
.zip
Propagación por la Red
El gusano se copiará a sí mismo en carpetas que contegan la cadena "shar" en el nombre de la carpeta utilizando nombres de ficheros que simular ser útilies o sugerentes para otros usuarios que puedan tener acceso a tales carpetas:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0
KAV 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
Capacidades de Puerta trasera(backdoor)
Abre puertos TCP y UDP aleatorios y permanece a la espera de conexiones remotas del atacante que podrá enviar comandos para realizar tareas como las siguientes:
Descargar y ejecutar ficheros desde internet
Descargar y ejecutar copias de sí mismo
Finalizar la ejecución de procesos
Eliminar las entradas del registro
Finalización de Procesos de Seguridad
Para evitar ser detectado, intentará detener la ejecución de los más conocidos programas de seguridad como Firewall y Antivirus, entre los que se encuentran los siguientes: (ver lista en el link)
Represalias contra el gusano NETSKY
El gusano intentará eliminar ciertas entradas realizadas por el gusano Netsky:
9XHtProtect
Antivirus
EasyAV
FirewallSvr
HtProtect
ICQ Net
ICQNet
Jammer2nd
KasperskyAVEng
MsInfo
My AV
NetDy
Norton Antivirus AV
PandaAVEngine
service
SkynetsRevenge
Special Firewall Service
SysMonXP
Tiny AV
Zone Labs Client Ex
En los siguientes registros de Windows:
HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion\Run
También intentará crear los siguientes procesos Mutex para prevenir la ejecución de Netsky:
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
'D'r'o'p'p'e'd'S'k'y'N'e't'
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
[SkyNet.cz]SystemsMutex
AdmSkynetJklS003
____--->>>>U<<<<--____
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
Otros detalles
EL gusano intentará conectar con los siguientes sitios Web, para enviar la información capturada desde cada máquina infectada como la dirección IP y puertos TCP y UDP abiertos para acceso remoto:
http://2udar.ligakvn.de/5.php http://3treepoint.com/5.php http://abakan.strana.de/5.php http://andimeisslein.de/5.php http://ditec.um.es/5.php http://fotos.schneider.bards.de/5.php http://hardvision.ru/5.php http://jakimov.golos.de/5.php http://markusgimenez.de/5.php http://mhv24.de/5.php http://s318.evanzo-server.de/5.php http://Spaceclub.de/5.php http://tobimayer.de/5.php http://vg.xtonne.de/5.php http://villakinderbunt.de/5.php http://virtualzone.de/5.php http://www.ac-schnitzer.de/5.php http://www.auma.de/5.php http://www.autoscout24.de/5.php http://www.avh.de/5.php http://www.beckers-systems.de/5.php http://www.berlinale.de/5.php http://www.blauer-engel.de/5.php http://www.bmbf.de/5.php http://www.bruecke-osteuropa.de/5.php http://www.bundesregierung.de/5.php http://www.chugai.de/5.php http://www.cicv.fr/5.php http://www.dalnoboyshik.de/5.php http://www.de-bug.de/5.php http://www.degruyter.de/5.php http://www.deutsch-als-fremdsprache.de/5.php http://www.deutsches-museum.de/5.php http://www.deutschland.de/5.php http://www.dfg.de/5.php http://www.documenta.de/5.php http://www.dwd.de/5.php http://www.embl-heidelberg.de/5.php http://www.emis.de/5.php http://www.eumetsat.de/5.php http://www.exactaudiocopy.de/5.php http://www.fernuni-hagen.de/5.php http://www.fiz-karlsruhe.de/5.php http://www.fracht-24.de/5.php http://www.fu-berlin.de/5.php http://www.gdch.de/5.php http://www.go-amman.de/5.php http://www.goethe.de/5.php http://www.gospel-nations.de/5.php http://www.gsi.de/5.php http://www.hamann-motorsport.de/5.php http://www.hamburg.de/5.php http://www.heise.de/5.php http://www.hotel-pension-spree.de/5.php http://www.ifdesign.de/5.php http://www.insel-ruegen-hotel.de/5.php http://www.intermatgmbh.de/5.php http://www.jura.uni-sb.de/5.php http://www.kliniken.de/5.php http://www.leipziger-messe.de/5.php http://www.loveparade.de/5.php http://www.low-spirit.de/5.php http://www.mdz-moskau.de/5.php http://www.mitsubishi-evs.de/5.php http://www.mitsumi.de/5.php http://www.mk-motorsport.de/5.php http://www.mobile.de/5.php http://www.nabu.de/5.php http://www.neformal.de/5.php http://www.neznakomez.de/5.php http://www.paromi.de/5.php http://www.partner-inform.de/5.php http://www.php-resource.de/5.php http://www.pri-wo-hamburg.de/5.php http://www.red-dot.de/5.php http://www.restarted-alliance.de/5.php http://www.ruletka.de/5.php http://www.russische-botschaft.de/5.php http://www.siegenia-aubi.com/5.php http://www.spiegel.de/5.php http://www.sprach-zertifikat.de/5.php http://www.teac.de/5.php http://www.tecchannel.de/5.php http://www.tekeli.de/5.php http://www.tib.uni-hannover.de/5.php http://www.turism.de/5.php http://www.uni-oldenburg.de/5.php http://www.uni-stuttgart.de/5.php http://www.welt.de/5.php http://www.windac.de/5.php http://www.winfuture.de/5.php http://www.www.mirko-becker.gmxhome.de/5.php Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4184Atak.C Gusano que utiliza su propio motor SMTP para propagarse por correo electrónico. Envía copias de si mismo a todos los contactos obtenidos.
Nombre completo: Worm.W32/Atak.C@MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
w32
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Tamaño (bytes): 140768
Alias:Win32/Atak.C (Enciclopedia Virus (Ontinent)), WORM_ATAK.C (Trend Micro)
Detalles
Cuando se ejecuta crea una copia de si mismo con el nombre "SVRHOST.EXE" dentro de la carpeta C:\Windows
También crea varias copias de si mismo dentro de la carpeta de inicio utilizando nombres al azar con extensiones ".EXE" y ".BAT".
Para ejecutarse en cada inicio del sistema crea la siguiente clave en el registro de Windows:
clave:HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
Valor:svrhost c:\windows\system\svrhost.exe
De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
El gusano utiliza su propio motor SMTP para enviarse por correo electrónico. Luego de enviar un mensaje espera durante 20 segundos antes de continuar con el envió de mensajes.
Intenta crear varios hilos para propagarse a una mayor velocidad.
Obtiene direcciones de correo de archivos que tengan las siguientes extensiones:
.adb
.asp
.cfg
.cgi
.dbx
.eml
.html
.jsp
.log
.mbx
.mht
.msg
.nch
.ods
.php
.pl
.sht
.tbb
.uin
.vbs
.wab
.xml
Los siguientes nombres son agregados a la lista de dominios obtenidos de los archivos revisados anteriormente:
· account
· adam
· admin
· alex
· alice
· anna
· anthony
· antispam
· anyone
· bill
· bob
· brian
· brovac
· bugs
· carey
· certific
· chang
· claudia
· connie
· contact
· dave
· david
· dolly
· elvin
· feste
· fred
· freddy
· george
· hanson
· harry
· helen
· help
· humm
· jack
· james
· jane
· jerry
· jim
· jimmy
· joe
· john
· jose
· joshua
· julie
· kevin
· lenny
· linda
· lissy
· maria
· marie
· mary
· matt
· me
· michael
· mike
· niky
· no
· nobody
· noone
· not
· nothing
· otto
· penny
· peter
· privacy
· rating
· reject
· robert
· ronnie
· sam
· service
· site
· smith
· soft
· somebody
· someone
· stan
· stella
· stephen
· steve
· steven
· support
· tom
· undisclose
· vivian
· vladimir
· walter
· william
· you
· your
· zidane
El mensaje creado por el gusano tiene las siguientes características:
Asunto: [Alguno de los siguientes]
always smile ;-D
bad news
big ears!
Expected!
Familiar
Fwd:
ginie file!
got my file!
gotcha!
greet
happy go lucky
happy!
helo
hi!
History
hmmm..
home sweet home!?
huh!
hurry up !!!
I know you!!
interesting
keep plz!
Keep Up to date
known issue
New Website
plz help us
Product Update
rate this!
Re:
Report
Reserved for you
thank for the idea
the sender
Top 10 Hoax!
varios
vote me again!
Warning!
what the tuut!!
wrong file!
you again!
Your Account
Texto del mensaje: [Alguno de los siguientes]
Because of our services are not configured properly.
We have converted your message as an attachment.
Please download the file to read.
Don"t get wrong anymore! Hope the files is right!
Here it is my response. Please reply back if got an idea.
Hope this is not a wrong file as you told me.
If you found this email with an attachment please refer
to the email attachment in order to read the sender email.
You have received this email with an email attachment.
Please refer to your email attachment if you want to
read the message.
Please note that your message has been converted to
an attachment. Please refer to the attachment in order
to read the file.
So, this is the correct file. Have you read the file
in the attachment?
Sorry, I"m late yesterday. But please read the file
first! I really need your help!
Thanks for watching.
The previous file i have sended to you before
are not correct.
Datos adjuntos: [Alguno de los siguientes]
against
bitdefender
content
exporter
f-secure
finish
gangster
hundred
idea
important
indoor
install
Issue
mcafee
panda
protect
readme
reminder
router
seek
setup
skipper
slam
slipper
something
sophos
symantec
unseen
word_file
Los datos adjuntos tienen alguna de las siguientes extensiones:
.bat
.com
.exe
.pif
.scr
.zip
El gusano intenta borrar los siguientes archivos en la carpeta C:\WINDOWS\SYSTEM, dichos archivos pueden ser de alguna de las variantes del gusano Bagle.
drvddll.exe
Drvddll.exeopen
Drvddll.exeopenopen
drvddll.exeopenopenopen
Drvddll.exeopenopenopenopen
Intenta borrar los siguientes archivos en el directorio C:\WINDOWS :
· base64.tmp
· fvprotect.exe
· userconfig9x.dll
· zip1.tmp
· zip2.tmp
· zip3.tmp
· zipped.tmp
De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
También intenta borrar las siguientes claves del registro de Windows, estas claves están asociadas a algún tipo de malware.
clave:HKLM\Software\Microsoft\Windows \CurrentVersion\Run Valores:
jijbl
msgsvr32
Sentry
service
system
clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Run Valores:
au.exe
d3dupdate.exe
gouday.exe
ole
rate.exe
srate.exe
ssate.exe
sysmon.exe
taskmon
windows services host
clave:HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Valores:
system
video
También Borra los siguientes valores dentro de la clave
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run":
9xhtprotect
antivirus
direct.exe
easyav
explorer
firewallsvr
htprotect
icq net
icqnet
jammer2nd
kasperskyaveng
msinfo
my av
netdy
norton antivirus av
pandaavengine
service
skynetsrevenge
special firewall service
sysmonxp
tiny av
winupd.exe
zone labs client ex
El gusano termina los procesos de varias aplicaciones y antivirus.
Para no ejecutarse más de una vez en memoria crea el siguiente mutex:
MuTexasv01
Nombres de Ficheros Adjuntos (virus que llegan por correo)
against
bitdefender
content
exporter
f-secure
finish
gangster
hundred
idea
important
indoor
install
Issue
mcafee
panda
protect
readme
reminder
router
seek
setup
skipper
slam
slipper
something
sophos
symantec
unseen
word_file
con alguna de las siguientes extensiones:
.bat
.com
.exe
.pif
.scr
.zip
Asunto del mensaje (virus que llegan por correo)
always smile ;-D
bad news
big ears!
Expected!
Familiar
Fwd:
ginie file!
got my file!
gotcha!
greet
happy go lucky
happy!
helo
hi!
History
hmmm..
home sweet home!?
huh!
hurry up !!!
I know you!!
interesting
keep plz!
Keep Up to date
known issue
New Website
plz help us
Product Update
rate this!
Re:
Report
Reserved for you
thank for the idea
the sender
Top 10 Hoax!
varios
vote me again!
Warning!
what the tuut!!
wrong file!
you again!
Your Account
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4185TrebTroyano que abre dos puertos en el sistema infectado y los utiliza como canal de comunicación con el autor.
Proporciona al atacante información referente al equipo objetivo del ataque.
Nombre completo: Trojan.W32/Treb
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Trojan.Treb (Symantec)
Detalles
Cuando Trojan.W32/Treb es ejecutado, realiza las siguientes acciones:
Crea los siguientes ficheros en el sistema infectado:
%System%\suchost.exe
%System%\suchostp.exe
%System%\suchosts.exe
%System%\xopert.dll (0 kb)
Nota: Los ficheros suchostp.exe y suchosts.exe son utilidades legítimas, de modo que ciertos antivirus no las detectan y por tanto, deben ser eliminadas manualmente.
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado, a la siguiente clave del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Valor: "Configuration Service" = "%System%\suchost.exe"
Nota: %System% es variable. El troyano localiza el directorio System y se replica en esa ubicación. Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
Lanza la ejecución de suchostp.exe y suchosts.exe que permanecen en escucha a través de puertos aleatorios.
Envía una consulta HTTP a cierto dominio, lo cual proporciona información sobre la localización de la dirección IP del equipo infectado.
Envía la siguiente información sobre el sistema a un servidor web alojado en la dirección 66.34.130.197:
Dirección IP.
Información sobre la localización de la dirección IP.
Números de los puertos utilizados para la escucha.
Podría intentar eliminarse a sí mismo, dependiendo de la respuesta del sitio web.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4183
