Troj/Dumbspy.A. Envía capturas de la pantallaNombre: Troj/Dumbspy.A
Tipo: Caballo de Troya
Alias: Dumbspy, Troj/Dumbspy-A, TrojanClicker.Win32.VB.cy, TrojanDownloader.Win32.VB.ej
Plataforma: Windows 32-bit
Troyano que captura la pantalla de los monitores de sus víctimas en forma periódica, y envía las imágenes obtenidas a un servidor predefinido.
Cuando se ejecuta, despliega una imagen o abre el navegador de Internet y descarga en forma silenciosa otros componentes en la máquina del usuario.
Puede copiarse a si mismo en la carpeta de inicio con el nombre de MSN.EXE.
La carpeta de inicio puede ser alguna de las siguientes:
* Windows XP, 2000 (español e inglés)
c:\documents and settings
\all users\menú inicio\programas\inicio
c:\documents and settings
\all users\start menu\programs\startup
c:\documents and settings
\[nombre usuario]\menú inicio\programas\inicio
c:\documents and settings
\[nombre usuario]\start menu\programs\startup
* Windows 95, 98, Me (español e inglés)
c:\windows\all users\menú inicio\programas\inicio
c:\windows\all users\start menu\programs\startup
c:\windows\menú inicio\programas\inicio
c:\windows\start menu\programs\startup
c:\windows\profiles\[nombre usuario]
\menú inicio\programas\inicio
c:\windows\profiles\[nombre usuario]
\start menu\programs\startup
En cada reinicio, el programa puede mostrarse a si mismo como una ventana con el nombre "MSN".
Las capturas de la pantalla pueden guardarse en el raíz de la unidad C, con nombres al azar y las extensiones .DIB o .JPG
El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.
Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios.
Más información:
http://www.vsantivirus.com/troj-dumbspy-a.htmTroj/Dumbspy.B. Descarga y ejecuta archivosNombre: Troj/Dumbspy.B
Tipo: Caballo de Troya
Alias: Dumbspy.B, Troj/Dumbspy-B, TrojanDownloader.Win32.VB.ej
Plataforma: Windows 32-bit
Cuando se ejecuta, intenta descargar componentes adicionales en la computadora de la víctima.
También muestra una ventana de diálogo con la siguiente pregunta:
How do you feel?
[ Yes ] [ No ]
Sin importar la respuesta del usuario, el troyano intentará descargar de un sitio predefinido de Internet un archivo que guardará en la siguiente ubicación:
c:\program files\msn.exe
Modificará luego el registro de Windows, para que ese archivo se ejecute en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MSN Partner = c:\program files\msn.exe
El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.
Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje
Más información:
http://www.vsantivirus.com/troj-dumbspy-b.htmJS/Scob.B. Infecta desde páginas Web maliciosasNombre: JS/Scob.B
Tipo: Gusano de JavaScript y caballo de Troya
Alias: Scob.B, StartPage-EU, Download.Ject2, JS/Ject.B, HTML/Ject.B, Download.Ject-style
Plataforma: Windows 32-bit
Tamaño: variable
Este gusano fue reportado por la firma de seguridad PivX Solutions LLC, en la tarde del jueves 19 de agosto de 2004, en una noticia de la que nos hicimos eco en nuestro boletín 1506 (ver "Nuevo ataque afecta a Windows XP con todos los parches",
http://www.vsantivirus.com/20-08-04.htm). A pesar de lo allí expresado por PivX, más de 24 horas después de ese informe, prácticamente no hay datos de casos de infección que ameriten una alarma.
El gusano fue transmitido aparentemente en forma de spam, en algunos ambientes específicos, a través de mensajes de AIM (AOL Instant Messenger), e ICQ.
El mensaje podría tener el siguiente texto:
My personal home page http:/ /[dirección de internet]/
Si el usuario hace doble clic sobre el enlace, el Internet Explorer abre un sitio web malicioso que infecta al usuario a través de varias vulnerabilidades conocidas, instalando y ejecutando un troyano.
El primer enlace, lleva a una página que contiene un exploit para aprovecharse de una vulnerabilidad conocida como "Object Data". En un Internet Explorer sin el parche específico, una ventana emergente devuelta por el servidor Web, permite ejecutar un código que carga otra página conteniendo otro exploit.
Este segundo exploit se aprovecha de otra vulnerabilidad conocida como "MHTML Redirect", para procesar un script y ejecutarlo en la zona de seguridad local del usuario.
Este script hace referencia a un archivo CHM (un formato ejecutable de ayuda HTML), el cuál contiene un troyano que explota una vulnerabilidad conocida como "CodeBase", para instalarse en los sistemas vulnerables.
Cuando el troyano se ejecuta se cambia la página de inicio del Internet Explorer y las opciones de búsqueda, para que apunten a un sitio que mostrará numerosos sitios Web para adultos, y redirigirá la búsqueda a publicidad pornográfica.
Para ello, el troyano modifica las siguientes entradas del registro:
HKCU\Software\Microsoft\Internet Explorer\Main
Customize Search = http:/ /targetsearch .info
Default_Search_URL = http:/ /targetsearch .info
Search Bar = http:/ /targetsearch .info
Local Page = http:/ /targetsearch .info
Search Page = http:/ /targetsearch .info
Start Page = http:/ /targetsearch .info
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main
Default_Page_URL = http:/ /targetsearch .info
Default_Search_URL = http:/ /targetsearch .info
Local Page = http:/ /targetsearch .info
Search Page = http:/ /targetsearch .info
Start Page = http:/ /targetsearch .info
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search
CustomizeSearch = http:/ /targetsearch .info/left .php
SearchAssistant = http:/ /targetsearch .info/left .php
Más información:
http://www.vsantivirus.com/js-scob-b.htm
