Back/Berbew.J. Permite el acceso total a intrusosNombre: Back/Berbew.J
Tipo: Caballo de Troya de acceso remoto
Alias: Berbew.J, Troj/Backdoor.Berbew.J, Backdoor.Berbew.J, Backdoor.Padodor.w, Backdoor.Webber.Y.DLL, Backdoor.Webber.Z, BackDoor-AXJ.dll.gen, BackDoor-AXJ.gen, Bck/Webber.gen, Bck/Webber.T, Berbew.H, BKDR_BERBEW.J, Troj/Padodo-Fam, TrojanSpy.Win32.Qukart.gen, W32/Berbew.H, Win32.Webber.X
Plataforma: Windows 32-bit
Tamaño: varios (UPX)
Puertos: TCP 12065, 28253, 23232, 32121 (por defecto)
Troyano que roba información confidencial de la computadora infectada, y permite el acceso de un intruso a la misma.
También puede descargar y ejecutar otros componentes desde Internet, entre ellos un intérprete de comandos (Root Shell) y un servidor FTP, además de enviar la dirección IP de la máquina infectada a otros equipos.
El troyano busca toda la información almacenada en el caché de contraseñas de Windows, lo que incluye contraseñas de accesos telefónicos, etc.
Muestra una ventana del navegador falsa, con un formulario HTML que invita al usuario a ingresar cierta información personal (tarjeta de crédito, PIN, etc.).
Cuando se ejecuta, crea los siguientes archivos:
c:\windows\system\????????.exe
c:\windows\system\????????.dll
También crea numerosos archivos con extensión .HTM en la carpeta TEMP:
\TEMP\????????.htm
[...]
\TEMP\????????.htm
En todos los casos, "????????" representan 8 caracteres al azar.
También crea los siguientes archivos para almacenar la información obtenida:
c:\windows\system\ccct32.dat
c:\windows\system\Engl32.dat
c:\windows\system\engl32.vxd
c:\windows\system\Rtdx1??.dat
c:\windows\system\Rtdx1??.htm
Donde "??" son números al azar.
El troyano se integra al Internet Explorer como un objeto del tipo BHO (Browser Helper Object). Un objeto BHO es un DLL que se adjunta a si mismo a cada nueva instancia del Internet Explorer, pudiendo ejecutar eventos predeterminados. Para ello, crea las siguientes entradas en el registro:
HKCR\CLSID\{79ECA078-17FF-726B-E811-213280E5C831}
HKLM\Software\Microsoft\Windows
\CurrentVersion\ShellServiceObjectDelayLoad
"WebEvent Logger" = {79ECA078-17FF-726B-E811-213280E5C831}
Crea o modifica las siguientes entradas en el registro, para cambiar las opciones de seguridad del Internet Explorer, y modificar su página de inicio y opciones de búsqueda:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\Autocomplete
"AutoSuggest" = "yes"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\Zones\0
"1601" = "0"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\Zones\1
"1601" = "0"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\Zones\2
"1601" = "0"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\Zones\3
"1601" = "0"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Internet Settings\Zones\4
"1601" = "0"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Internet Settings
"BrowseNewProcess = "yes"
"GlobalUserOffline" = "0"
HKCU\Software\Microsoft\Internet Explorer\Main
"Use FormSuggest" = "yes"
"FormSuggest Passwords" = "yes"
"FormSuggest PW Ask" = "yes"
HKLM\Software\Microsoft\IE4
"MGR" = "D-REPORTS-????????"
Ejecuta un "root shell" (consola para ingresar comandos con privilegios de administrador), en el puerto TCP/23232 que permite el acceso total a un atacante.
Ejecuta un servidor FTP en el puerto TCP/32121 y abre además otros los puertos TCP 12065 y 28253.
El troyano permite a un intruso, acciones como las siguientes:
- Descargar y ejecutar archivos desde Internet
- Detener cualquier proceso en ejecución
- Reiniciar o apagar la PC infectada
- Robar contenido del caché de contraseñas
- Ver la lista de procesos en ejecución
- Ver un registro con información del sistema
Más información:
http://www.vsantivirus.com/back-berbew-j.htm
W32/Lovgate.AT. Se propaga por redes, e-mail, KaZaaNombre: W32/Lovgate.AT
Tipo: Gusano de Internet
Alias: Lovgate.AT, W32.Lovgate.AO@mm, I-Worm.LovGate.ah, Win32/Lovgate.AT
Plataforma: Windows 32-bit
Tamaño: varios
Puerto: TCP 6060
Gusano que se propaga masivamente por correo electrónico, y recursos compartidos en redes.
La máquina infectada puede ser accedida por un atacante a través de una puerta trasera instalada por el gusano.
Es capaz de infectar archivos .EXE.
Los mensajes infectados pueden tener adjuntos con extensiones .BAT, .CMD, .COM, .EXE, .PIF, .SCR, o .ZIP. El mensaje también puede ser la respuesta a un mensaje enviado anteriormente a un usuario que ahora ha sido infectado (no abra adjuntos de usuarios conocidos sin haber confirmado con el remitente su envío, podría ser una respuesta automática del gusano a uno de sus mensajes, en un mensaje infectado).
Utiliza su propio motor SMTP para enviarse a todos los contactos de la libreta de direcciones de Windows y del Outlook, y a todas las direcciones que extrae de archivos de las máquinas infectadas.
Detalles de los mensajes:
De: [remitente falso, creado con los datos de la siguiente lista]
accoun
acketst
alice
andrew
anyone
arin.
be_loyal:
berkeley
borlan
brenda
brent
brian
certific
claudia
contact
david
debby
example
feste
george
gold-certs
google
helen
hotmail
ibm.com
icrosof
icrosoft
inpris
isc.o
isi.e
james
jerry
jimmy
julie
kernel
kevin
linda
linux
listserv
maria
michael
mit.e
mozilla
mydomai
nobody
noone
nothing
ntivi
panda
peter
postmaster
privacy
rating
rfc-ed
ripe.
robert
ruslis
samples
sandra
secur
sendmail
service
smith
somebody
someone
sopho
steve
submit
support
tanford.e
the.bat
usenet
utgers.ed
webmaster
Asunto: [uno de los siguientes]
[vacío]
Delivery Status Notification (Delay)
Error
Hi
Mail Transaction Failed
Test
Texto del mensaje: [uno de los siguientes]
[vacío]
Delivery to the following recipient has failed:
It's the long-awaited film version of the Broadway hit.
The message sent as a binary attachment.
Mail failed. For further assistance, Please contact!
The message contains Uniocode characters and has been
sent as a binary attachment.
THIS IS A WARNING MESSAGE ONLY.
This is an automatically generated Delivery Status
Notification
YOU DO NOT NEED TO RESEND YOUR MESSAGE.
Datos adjuntos: [nombre]+[extensión]
Donde [nombre] es uno de los siguientes:
[al azar]
body
data
doc
document
file
message
readme
test
text
Y [extensión] una de las siguientes:
.bat
.cmd
.com
.exe
.pif
.scr
.zip
Además, se envía como respuesta a mensajes no leídos encontrados en la bandeja de entrada del Outlook, Outlook Express y otros clientes de correo compatibles.
En este caso, estos son los detalles del mensaje:
Asunto: Re: [asunto del mensaje que se responde]
Para: [destinatario] @ [dominio]
Texto del mensaje:
[destinatario] wrote:
====
> [texto del mensaje que se responde]
====
[dominio] account auto-reply:
... ... more details,look to the attachment.
> Get your FREE [dominio] account now! <
Donde [dominio] es el mismo dominio del destinatario.
Datos adjuntos: [uno de los siguientes]
butterfly garden.scr
dreamweaver mx (crack).exe
flashfxp.exe
hypersnap-dx v5.rar.exe
industry giant ii.exe
joke.exe
macromedia flash.scr
macromedia.pif
matrix reloaded 3d.exe
msn messenger.exe
myie.avi.pif
photoshop.exe
s3msong.mp3.pif
shakira.zip.exe
starwars2 - cloneattack.rm.scr
windowsxp creak.exe
Cuando se ejecuta, el gusano crea los siguientes archivos en la máquina infectada:
\autorun.inf
\update.exe
c:\windows\office.exe
c:\windows\video.exe
c:\windows\system\hxdef.exe
c:\windows\system\iexplore.exe
c:\windows\system\iexplorer.exe
c:\windows\system\kernel66.dll
c:\windows\system\lmmib20.dll
c:\windows\system\msjdbc11.dll
c:\windows\system\mssign30.dll
c:\windows\system\odbc16.dll
c:\windows\system\real.exe
c:\windows\system\tkbellexe.exe
c:\windows\system\update_ob.exe
c:\windows\system\winpatch.dll
El archivo KERNEL66.DLL es copiado con los atributos de solo lectura, oculto y del sistema (+R +H +S).
Modifica las siguientes claves del registro, para que cada intento de abrir un archivo .TXT ejecute al gusano:
HKCR\txtfile\shell\open\command
(Predeterminado) = update_ob.exe %1...
HKLM\Software\Classes\txtfile\shell\open\command
(Predeterminado) = update_ob.exe %1...
También genera las siguientes entradas en el registro, para autoejecutarse en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Microsoft Inc. = iexplorer.exe...
Program In Windows = c:\windows\system\iexplore.exe
Protected Storage = rundll32.exe mssign30.dll ondll_reg...
VFW Encoder/Decoder Settings = rundll32.exe mssign30.dll ondll_reg...
WinHelp = c:\windows\system\tkbellexe.exe...
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Installed shell32.dll = office.exe...
Soft Profile Inc = c:\windows\system\hxdef.exe...
SystemTra = c:\windows\video.exe
En equipos con Windows NT, 2000 y XP, crea también las siguientes entradas:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
run = real.exe
Crea un recurso compartido en red con el siguiente nombre:
JAVA
El mismo está mapeado a la siguiente ubicación:
c:\windows\JAVA
Se copia en todas las carpetas y subcarpetas, de todos los recursos compartidos, con los siguientes nombres:
autoexec.bat
Daemon Tools v3.41.exe
eMule-0.42e-VeryCD0407Install.exe
EnterNet 500 V1.5 RC1.exe
Flash2X Flash Hunter v1.1.2.pif
FoxMail V5.0.500.0.exe
i386.exe
Microsoft Office.exe
Minilyrics_Std_2.7.233.pif
Serv-U FTP Server 4.1.exe
Support Tools.exe
Winamp skin_FinalFantasy.exe
Windows 2000 sp4.ZIP.exe
Windows Media Player.zip.exe
WinGate V5.0.10 Build.exe
WINISO 5.3.exe
Localiza la carpeta compartida de la utilidad KaZaa y se copia en ella con los siguientes nombres (y extensiones .BAT, .EXE, .PIF, o .SCR:
[nombre al azar]
BlackIcePCPSetup_creak
HEROSOFT
orcard_original_creak
Passware5.3
rainbowcrack-1.1-win
REALONE
setup
W32Dasm
word_pass_creak
wrar320sc
Crea dos archivos llamados "UPDATE.EXE" y "AUTORUN.INF" respectivamente, y los copia en el directorio raíz de todas las unidades de disco excepto CDROM y removibles.
El archivo AUTORUN.INF contiene las instrucciones para ejecutar UPDATE.EXE.
Crea un archivo con alguno de los siguientes nombres en el raíz de todos las unidades de discos, excepto A y B:
[nombre de archivo].RAR
Donde [nombre de archivo] es cualquiera de los siguientes:
Bakeup
ghost
email
Cada archivo comprimido contiene una copia del gusano.
El gusano también se registra a si mismo como los servicios "_reg" y "Windows Management Protocol v.0 (experimental)".
HKLM\System\ControlSet001\Services\_reg
Image Path = Rundll32.exe msjdbc11.dll ondll_server
HKLM\System\ControlSet001\Services
\Windows Management Protocol v.0 (experimental)
Image Path = Rundll32.exe msjdbc11.dll ondll_server
HKLM\System\CurrentControlSet\Services\_reg
Image Path = Rundll32.exe msjdbc11.dll ondll_server
HKLM\System\CurrentControlSet\Services
\Windows Management Protocol v.0 (experimental)
Image Path = Rundll32.exe msjdbc11.dll ondll_server
Infecta archivos .EXE agregándoles una copia del archivo original del gusano.
Escucha por el puerto TCP 6000. El proceso de acceso remoto por puerta trasera (backdoor), roba información del sistema comprometido. Esta información es almacenada por el troyano en el siguiente archivo:
También examina todas las máquinas de la red local (si existiera), e intenta logearse en ellas como administrador, utilizando alguna de las siguientes contraseñas:
!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
000000
00000000
007
110
111
111111
11111111
121212
123
123123
1234
12345
123456
1234567
12345678
123456789
123abc
123asd
2003
2004
2600
321
54321
654321
666666
888888
88888888
aaa
abc
abc123
abcd
abcdef
abcdefg
Admin
admin
admin123
Administrator
administrator
alpha
asdf
asdfgh
computer
database
enable
god
godblessyou
Guest
guest
home
Internet
Login
login
love
mypass
mypass123
mypc
mypc123
oracle
owner
pass
passwd
Password
password
pw123
pwd
root
secret
server
sex
sql
super
sybase
temp
temp123
test
test123
win
yxcv
zxcv
zzz
El gusano también intenta logearse como administrador si la cuenta no tiene contraseña.
Si obtiene éxito, se copia a si mismo como TELEPHONE.EXE en la siguiente ubicación:
\\[computadora]\admin$\system32\TelePhone.exe
También inicia un servicio llamado "NetWork Associates Inc" que es mapeado como "TelePhone.exe -exe_start".
Intenta finalizar los procesos activos cuyos nombres contengan las siguientes cadenas:
Duba
Gate
KAV
kill
KV
McAfee
NAV
RavMon.exe
Rfw.exe
rising
SkyNet
Symantec
Más información:
http://www.vsantivirus.com/lovgate-at.htmVoodoo.C Nombre completo: Virus.VBS/Voodoo.C
Tipo: [Virus] - Virus Genérico, normalmente se propaga infectando archivos ejecutables.
Plataforma: [VBS] - Visual Basic Script
Alias:VBS.Voodoo.C (Symantec)
Cuando Virus.VBS/Voodoo.C es ejecutado, realiza las siguientes acciones:
Para reducir el nivel de seguridad de Microsoft Internet Explorer, modifica el valor indicado en las siguientes claves del registro de Windows:
Claves: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Internet Settings\Zones\0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Internet Settings\Zones\0
Valor: "1201"=0
Infecta ficheros con extensiones .asp, .htm, .hta, .htx, .html y .htt (plantillas html) ubicados en los siguientes directorios:
El mismo directorio donde se encuentra el virus.
El directorio padre del actual, y recursivamente hasta llegar al directorio raíz.
C:\My Documents
C:\Windows\Desktop
C:\Inetpub\wwwroot
Podría añadir el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RegisteredOwner
Valor: "RegisteredOwner"="BLASTER"
Podría crear la siguiente entrada en la lista de favoritos de Internet Explorer Favorites:
Blaster.URL: http:/ /www.coderz.net
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4211 Berbew.J Troyano que intenta robar las contraseñas almacenadas en la caché del equipo infectado.
Además, podría mostrar ventanas falsas para obtener información del usuario atacado.
Nombre completo: Backdoor.W32/Berbew.J
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Backdoor.Berbew.J (Symantec), Troj/Backdoor.Berbew.J (PerAntivirus)
Cuando Backdoor.W32/Berbew.J es ejecutado, realiza las siguientes acciones:
Crea un mutex de nombre "Engel_12", para asegurarse de que sólo una instancia del troyano se ejecuta simultáneamente en el equipo.
Deposita en el sistema los siguientes ficheros:
%System%\- 8 caracteres aleatorios -.exe
%System%\- 8 caracteres aleatorios -.dll
Nota: %System% es variable. Hace referencia al directorio del sistema. Por defecto es C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
Crea los siguientes ficheros, que son utilizados para guardar las contraseñas y cualquier información de configuración del troyano:
%System%\Engl32.dat
%System%\Rtdx1- número aleatorio -.htm
%System%\engl32.vxd
%System%\Rtdx1- número aleatorio -.dat
%System%\ccct32.dat
Crea varios ficheros .htm en el directorio %Temp%, con nombres - 8 caracteres aleatorios -.
El troyano podría abrir estos ficheros con Internet Explorer.
Nota: %Temp% es variable y hace referencia al directorio temporal de Windows. Por defecto es C:\Windows\TEMP (Windows 95/98/Me/XP) o C:\WINNT\Temp (Windows NT/2000).
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade a la siguiente clave del registro de Windows, el valor indicado:
Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\ShellServiceObjectDelayLoad
Valor: "WebEvent Logger"="{79ECA078-17FF-726B-E811-213280E5C831}"
Para que %System%\- 8 caracteres aleatorios -.dll sea llamado como ayuda (BHO) por Internet Explorer, crea la siguiente entrada en el registro de Windows:
Clave: HKEY_CLASSES_ROOT\CLSID\{79ECA078-17FF-726B-E811-213280E5C831}
Para evitar que Internet Explorer pregunte a los usuarios si estan seguros de querer enviar información no encriptada, añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\IE4
Valor: "MGR" = "D-REPORTS- -8 letras aleatorias -"
Para evitar que Internet Explorer pregunte a los usuarios si estan seguros de querer enviar información no encriptada, añade el valor indicado a las siguientes claves del registro de Windows:
Claves: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Internet Settings\Zones\0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Internet Settings\Zones\1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Internet Settings\Zones\2
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Internet Settings\Zones\3
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Internet Settings\Zones\4
Valor: "1601"="0x0"
Para evitar que Internet Explorer pregunte a los usuarios si quieren trabajar sin conexión a red, añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Valor: "GlobalUserOffline" = "0x0"
Para permitir que Windows Explorer acceda a Internet, añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Valor: "BrowseNewProcess" = "Yes"
Para deshabilitar la opción de 'Autocompletar' en Internet Explorer, utilizada para completar automáticamente por ejemplo direcciones, contraseñas, etc, añade los valores indicados a las siguientes claves del registro de Windows:
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\AutoComplete
Valor: "AutoSuggest" = "Yes"
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\Internet Explorer\Main
Valor: "Use FormSuggest" = "Yes"
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\Internet Explorer\Main
Valor: "FormSuggest Passwords" = "Yes"
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\Internet Explorer\Main
Valor: "FormSuggest PW Ask" = "Yes"
Abre los puertos indicados para los siguientes propósitos:
A través de un intérprete de comandos (Root Shell) abre el puerto TCP 23232.
Servidor FTP a través del puerto TCP 32121.
Puertas trasera a través de los puertos TCP 12065 y 28253.
Recopila contraseñas del equipo infectado e intercepta los datos introducidos en los formularios de Internet Explorer. Envía la información capturada al atacante remoto.
Manda la información de configuración a través de web a una URL del dominio pidorasam.net.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4210Tiniresu Virus que infecta el fichero Userinit.exe añadiendo código tanto al inicio como al final del fichero.
También descarga y ejecuta un archivo procedente de una ubicación remota.
Nombre completo: Virus.W32/Tiniresu
Tipo: [Virus] - Virus Genérico, normalmente se propaga infectando archivos ejecutables.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 48132
Alias:W32.Tiniresu (Symantec)
Cuando Virus.W32/Tiniresu es ejecutado, realiza las siguientes acciones:
Localiza el fichero %System%\Userinit.exe, y en caso de que su tamaño sea menor de 25.600 bytes, lo infecta añadiendo a su inicio 48.128 bytes y 4 bytes extra al final del mismo.
Este archivo se utiliza para ejecutar programas antes de que se cargue el intérprete de comandos (shell).
Nota: %System% es variable. Hace referencia al directorio del sistema. Por defecto es C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
Abre puertos del equipo infectado que utiliza como puerta trasera por los que envía la dirección IP del equipo infectado y los números de puertos abiertos a las siguientes direcciones:
brtblrvn.hopto.org
brtblrvn.no-ip.info
dlzdvlnj.hopto.org
dlzdvlnj.no-ip.info
hzlhpzxb.hopto.org
hzlhpzxb.no-ip.info
jtrjztpx.hopto.org
jtrjztpx.no-ip.info
lnxljnht.hopto.org
lnxljnht.no-ip.info
nhdnthzp.hopto.org
nhdnthzp.no-ip.info
pbjpdbrl.hopto.org
pbjpdbrl.no-ip.info
rvprnvjh.hopto.org
rvprnvjh.no-ip.info
tpvtxpbd.hopto.org
tpvtxpbd.no-ip.info
vjbvhjtz.hopto.org
vjbvhjtz.no-ip.info
xdhxrdlv.hopto.org
xdhxrdlv.no-ip.info
zxnzbxdr.hopto.org
zxnzbxdr.no-ip.info
Nota: no-ip.info y hopto.org son sitios de DNS dinámico.
Recupera y ejecuta un fichero de una ubicación remota.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4209Gavvo Gavvo es un troyano de puerta trasera que permite acceso no autorizado a la máquina afectada, a la que además puede convertir en un relé de spam.
Nombre completo: Backdoor.W32/Gavvo
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Win32.Gavvo (Computer Associates), Backdoor.Win32.Surila.g (Kaspersky (viruslist.com))
Cuando es ejecutado, Gavvo se copia en %System%\dx32hhlp.exe y modifica el registro para que este fichero sera ejecutado durante el inicio de sesión del usuario:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
devsec = “%System%\dx32hhlp.exe”
donde %system% representa la carpeta de sistema de Windows, por defecto C:\WINDOWS\System32 en Windows XP.
Efectos
Gavvo detiene servicios, termina procesos, y elminia ficheros y claves del registro asociados a otras variants. Busca y elimina ficheros que contengan las cadenas:
tcp32s*.*
scm32h*.*
en las carpetas de sistema, de Windows, y en el directorio de inicio común. Para localizar ésta consulta la clave:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\´
Common Startup
Detiene servicios cuyo nombre contenga alguna de las siguientes cadenas:
scm32hec
tcp32sec
a continuación elimina las siguientes entradas del registro:
HKLM\SOFTWARE\Microsoft\Internet Explorer\vers
HKLM\SOFTWARE\Microsoft\Internet Explorer\spoofurl
HKLM\SOFTWARE\Microsoft\Internet Explorer\upurl
HKLM\SOFTWARE\Microsoft\Internet Explorer\sockport
HKLM\SOFTWARE\Microsoft\Internet Explorer\emss
HKLM\SOFTWARE\Microsoft\Internet Explorer\emserv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\devsec
Finalmente instala un servicio que le permite ocultar sus actividades del usuario.
Modificación del fichero Hosts
Este troyano modifica el fichero hosts, que contiene asociaciones de direcciones IP a nombres de máquinas, para impedir el acceso a ciertos sitios web y dificultar la descarga de actualizaciones de antivirus. El fichero Hosts se halla en %System%\drivers\etc\hosts en sistemas Windows 2000/XP y en la carpeta de Windows en sistemas Windows 9x/Me
Añade líneas de la forma 127.0.0.1 {nombre de máquina], para los siguientes nómbres de máquinas:
avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
kaspersky.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
my-etrust.com
nai.com
networkassociates.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
viruslist.com
www.avp.com www.ca.com www.f-secure.com www.kaspersky.com www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com Para evitar sobreescribir el fichero indefinidamente, primero comprueba si la cadena "127.0.0.1
www.symantec.com" se halla en el fichero.
Funcionalidad de puerta trasera
Gavvo abre una puerta trasera en el sistema en un puerto aleatorio entre 31050 y 42100, donde espera conexiones remotas. Permite a un atacante realizar acciones tales que las siguientes:
Obtener información del sistema, como la hora, velocidad de CUP, nombre de máquina, versión de Windows, directorio de sitstema, y versión del troyano.
Manipular privilegios de procesos
Establecer la página de inicio de Internet Explorer
Añadir enlaces a la carpeta de favoritos del usuario.
Terminar procesos.
Obtener detalles del servidor de correo del usuario de las siguientes claves del registro:
HKCU\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts\
HKCU\Software\Microsoft\Internet Account Manager\Accounts\
como servidor POP3, nombre de usuario POP3 y contraseña.
Conectar a un servidor IRC
Conectar con un servidor emule
Iniciar un proxy en un puerto aleatorio en tre 31050 y 42100, que puede ser usado por atacantes para ocultar su dirección IP, "rebotando" sus peticiones contra la máquina víctima.
Relé de spam
El controlador del troyano puede usarlo para enviar spam desde la máquina infectada. Falsifica la dirección y nombre del remitente utilizando nombres que genera combinando varias listas incluidas en su código.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4208Sdbot.NR Sdbot.NR es un gusano que se extiende a través de unidades compartidas y que incluye un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC.
Nombre completo: Worm-Backdoor.W32/Sdbot.NR@SMB
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [SMB] - Se difunde por carpetas compartidas de red de Microsoft
Alias:W32/Sdbot-NR (Sophos)
Sdbot.NR se copia en la carpeta del sistema de Windows con el nombre WINCAT32.EXE y crea el valor:
Security Fixers
en las siguientes entradas en el registro para activarse en el inicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Sdbot.NR se extiende a través de unidades compartidas con contraseñas no seguras y aprovechando otras vulnerabilidades, copiándose con el nombre WINCAT32.DAT.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4207Des, ayer te quejabas de que había pocos, hoy....
