Autor Tema: 22 de agosto, virus  (Leído 2264 veces)

Desconectado Danae

  • Administrator
  • *
  • Mensajes: 3210
  • Casi siempre en el armario.
    • windowsfacil,  primeros pasos con windows y el pc
22 de agosto, virus
« en: 22 de Agosto de 2004, 01:41:44 pm »
Delsha
Troyano que desactiva los recursos de carpetas compartidas en redes.
Nombre completo: Trojan.W32/Delsha    
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
Tamaño (bytes): 20480
Alias:Trojan.Delsha (Symantec), Win32/Delsha.C1 (Enciclopedia Virus (Ontinent))
Cuando se ejecuta este troyano, borra las siguientes carpetas compartidas:
  a$
  b$
  c$
  d$
  e$
  f$
  g$
  h$
  i$
  j$
  k$
  l$
  m$
  n$
  o$
  p$
  q$
  r$
  s$
  t$
  u$
  v$
  w$
  x$
  z$
  print$
  admin$
  ipc$
  Shared Docs
  My Documents
Nota: Las carpetas compartidas no son borradas del equipo, unicamente no se encuentran disponibles.
Más información: http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4193

Ainesey.C
Virus de macro que infecta documentos de Microsoft Excel. Cambia el nivel de seguridad de Microsoft Excel. También libera un troyano en el equipo infectado.
Nombre completo: Worm-Backdoor.X97M/Ainesey.C    
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [X97M] - Virus de Excel 97 (y posteriores)
Tamaño (bytes): 71920
Alias:X97M.Ainesey.C (Symantec), X97M/Ainesey.C (Enciclopedia Virus (Ontinent))
Cuando la macro se ejecuta crea los siguientes archivos:
C:\Windows\temp\1.reg sets
C:\Windows\temp\2.reg sets
La ubicación de la carpeta "TEMP" podrá ser c:\windows\TEMP Para sistemas Windows 9X/Me, o c:\documents and settings\[usuario]\local settings\TEMP para Windows NT, XP, 2000 y Server 2003
Modifica los siguientes valores para cambiar el nivel de seguridad en la versión 9.0 de Excel:
clave:HKCU\Software\Microsoft\Office\9.0\Excel
valor:Security\Level = 1
clave:HKCU\Software\Microsoft\Office\9.0\Excel\Security
valor:DontTrustInstalledFiles = 0
Modifica los siguientes valores para cambiar el nivel de seguridad en la versión 10.0 de Excel:
clave:HKCU\Software\Microsoft\Office\10.0\Excel\Security
valor:Level = 1
clave:HKCU\Software\Microsoft\Office\10.0\Excel\Security
valor:DontTrustInstalledFiles = 0
clave:  HKCU\Software\Microsoft\Office\10.0\Excel\Security
valor:AccessVBOM = 1
Después borra los siguientes archivos:
C:\Windows\temp\1.reg sets
C:\Windows\temp\2.reg sets
Crea y ejecuta el siguiente archivo dentro de la carpeta C:\WINDOWS.
  msiexec32.exe
Este archivo contiene el virus Win32/Ainesey.A.
Busca todos los libros de Microsoft Excel que se encuentren abiertos para infectarlos.
También busca un archivo llamado "Personal.xls" dentro de la carpeta de Excel, si el archivo no existe lo crea.
Para ejecutarse cada vez que un Libro de Excel es abierto infecta el siguiente archivo:
Personal.xls
Más información: http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4194

Zerolin
Se trata de un código en JavaScript que ha sido incluido en mensajes enviados como spam a cientos de miles de usuarios.
El mensaje está diseñado para desplegar un banner publicitario de "hotsweetsingles.com".
El código HTML del mensaje incluye un script que se carga con una etiqueta IFRAME (carga una página Web dentro de otra). Esto muestra el contenido de un sitio remoto.
La página visualizada de este modo, contiene el código para explotar una vulnerabilidad conocida como "Vulnerabilidad de etiquetas de objeto", que permite que un Internet Explorer sin las últimas actualizaciones, pueda ejecutar un archivo HTA sin la intervención del usuario.
Nombre completo: Trojan.JS/Zerolin    
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [JS] - JavaScript
w32
Tamaño (bytes): 1032
Alias:HTML_ZEROLIN.A (Trend Micro), JS/Zerolin (Otros), VBS/Inor (Otros), TrojanDropper.VBS.Zerolin (Otros), Trj/Zerolin.A (Otros)
Detalles
La vulnerabilidad fue corregida en octubre de 2003 por Microsoft (ver "MS03-040 Actualización acumulativa para IE (828750)",
El exploit carga otra página conteniendo un código malicioso en Visual Basic Script, detectado como VBS/Inor, small.AR (o algunas de sus respectivas variantes).
Este VBS instala el troyano Xebiz.A.
Debido a su naturaleza, este código puede ser modificado para descargar e instalar cualquier otro malware.
Notas:
El gusano utiliza un exploit que se aprovecha de una vulnerabilidad del Internet Explorer para manejar las etiquetas IFRAME, a los efectos de ejecutarse al ser visualizado el mensaje, en aquellos equipos que no hayan instalado los últimos parches para el Internet Explorer y Outlook Express.
El mensaje contiene en su código una etiqueta IFRAME, que normalmente permite la inclusión de páginas o documentos dentro de otras páginas, ya sean del mismo dominio o no.
Valiéndose de una vulnerabilidad del Internet Explorer, se logra ejecutar un script que obliga a que el navegador descargue y ejecute el archivo adjunto, superando las restricciones de seguridad que Windows impone a cualquier código cuando se usa dentro de un IFRAME.
Nombres de Ficheros Adjuntos (virus que llegan por correo): Trj/Zerolin.A
Más información: http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4195

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License