W64/Shruggle.A. Primer virus para procesadores AMD64Nombre: W64/Shruggle.A
Tipo: Infector de ejecutables (PE)
Alias: Shruggle, Win64.Shruggle.1318, W64.Shruggle.1318,
Win64/Shruggle.1318, Win64.Shruggle.1318, W64_SHRUGGLE.A
Plataforma: Windows 64-bit (AMD64)
Tamaño: 1,318 bytes
Virus del tipo parásito, que infecta archivos .EXE y .DLL, y solo se ejecuta en sistemas AMD64, bajo servidores Windows XP o 2003 de 64-bit.
AMD64 es una nueva clase de procesadores para plataformas de computación de 64 bit, creados para servidores y estaciones de trabajo.
Se trata del primer virus conocido para AMD64, escrito como una prueba de concepto (PoC), creado por el mismo autor del W64/Rugrat.A, el primer virus para procesadores Intel IA64 (Itanium).
El virus infecta todos los archivos .EXE y .DLL (PE, Portable Executable), en el directorio actual y sus correspondientes subdirectorios.
Para infectar estos archivos, no examina las extensiones de los mismos (no importa si son renombrados), pero solo infecta archivos de Windows específicos para procesadores AMD64. No infecta programas de Windows 32-bit, ni de 64-bit para otros procesadores, como los de Intel IA64 (Itanium).
No hay reportes de que este virus esté en la calle (no posee capacidad de propagación), y está restringido a ambientes de trabajo que cumplan las condiciones ya enumeradas.
El código del virus contiene el siguiente texto:
Shrug - roy g biv
No está encriptado, y se agrega al comienzo de los archivos infectados.
Más información:
http://www.vsantivirus.com/shruggle-a.htmW64/Rugrat.A. Primer virus para procesadores IA64Nombre: W64/Rugrat.A
Tipo: Infector de ejecutables
Alias: Rugrat, W64_RUGRAT.A, W64.Rugrat.3344, W64/Rugrat,
W64/Rugrat.3344, W64_RUGRAT.A, Win64.Rugrat.3344,
Win64.Rugrat.8388, Win64.Rugrat.a, Win64:Rugrat-3344
Plataforma: Windows 64-bit (IA64)
Tamaño: 3,350 bytes (aprox.)
Este virus infecta archivos .EXE de sistemas de 64 bits, agregándose al final de estos.
Utiliza técnicas usadas por antiguos virus de 32 bits como el W32/Chiton (W32.Shrug.gen), para no modificar el punto de entrada al programa infectado (se vale de la técnica conocida como EPO, Entry Point Obscuring Technique). Ello hace que el virus se ejecute antes y después que el archivo infectado lo haga.
Está diseñado para ejecutarse en sistemas operativos de Windows 64-bit, solamente bajo procesadores Intel IA64 (Itanium).
Infecta archivos en el directorio actual y todos los subdirectorios.
Agrega aproximadamente 3,350 bytes al tamaño original de los archivos infectados, al final de los mismos.
Utiliza técnicas especiales para no causar el fallo de los programas infectados, eludiendo la protección de archivos del sistema.
No infecta archivos de 32-bit, y tampoco se ejecuta en plataformas de 32-bit sin el software necesario para emular los 64 bits.
No se ejecuta en plataformas con otros procesadores de 64 bits, como AMD64.
Los archivos infectados contienen el siguiente texto:
Shrug - roy g biv
El autor es el mismo del W64/Shruggle.A, el primer virus para AMD64.
No hay reportes de que este virus esté en la calle (no posee capacidad de propagación).
Más información:
http://www.vsantivirus.com/shruggle-a.htmSingu. Troyano que abre una puerta trasera en el equipo infectado. Esto permite a un atacante remoto acceder al sistema.
Una vez conectado, el intruso puede realizar varias acciones, entre ellas, borrar y ejecutar ficheros, capturar actividades del teclado, ratón, webcam y micrófono, o robar información y contraseñas.
Nombre completo: Trojan.W32/Singu.O
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Win32/Singu.O (Enciclopedia Virus (Ontinent))
Cuando Trojan.W32/Singu.O es ejecutado, realiza las siguientes acciones:
Crea una copia de si mismo dentro de la carpeta C:\WINDOWS con el nombre "WINSRV.EXE".
Libera el archivo "C:\WINDOWS\SYSTEM\FINDRIV.DLL" con atributos de 'Oculto' activo.
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Valor: winsrv = c:\windows\winsrv.exe
Un atacante externo puede conectarse al equipo infectado utilizando la puerta trasera abierta por el troyano. Una vez conectado, puede realizar las siguientes acciones:
Copiar, borrar y ejecutar archivos.
Capturar la salida del teclado.
Controlar el teclado o el ratón.
Realizar una captura del escritorio.
Capturar imágenes utilizando una cámara web.
Escuchar sonidos recogidos por el micrófono.
Controlar y cerrar ventanas.
Terminar procesos que se estén ejecutando.
Editar el registro.
Apagar o bloquear el equipo.
Robar información y claves del equipo.
También modifica la opción de marcado automático y desconexión automática en las conexiones de Internet para conectarse automáticamente.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4214
DoomTweak Troyano que intenta robar la clave de CD del juego Doom3, y posteriormente se la envía al autor del código malicioso.
Esta escrito con Microsoft Visual Basic.
Nombre completo: PWSteal.W32/DoomTweak
Tipo: [PWSteal] - Trayano que roba contraseñas u otros datos confidenciales del sistema infectado
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 147456
Alias:PWS-DoomTweak (McAfee)
Cuando PWSteal.W32/DoomTweak es ejecutado, consulta la siguiente clave del registro en la que se almacena el directorio de instalación del juego Doom3:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\id\Doom 3\InstallPath
En caso de que la clave anterior no exista en el registro, el troyano finaliza su ejecución.
PWSteal.W32/DoomTweak encuentra la clave de CD del juego, en el fichero "\base\doomkey" bajo el directorio de instalación de Doom 3.
Seguidamente, intenta acceder a un servidor de correo ubicado en "gonuts4free.com" que esta determinado en el código del troyano, para enviar la clave del juego robada al autor del troyano.
El mensaje enviado tiene las siguientes características:
Remitente:
[email protected] Para:
[email protected] Asunto: [CD key]
Este troyano, no modifica ninguna clave del registro de Windows.
Síntomas de infección:
Correo electrónico enviado al servidor "smtp.gonuts4free.com".
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4215
