CHM/Psyme.N. Intenta descargar y ejecutar troyanoNombre: CHM/Psyme.N
Tipo: Caballo de Troya
Alias: CHM_PSYME.N
Relacionados: Exploit/ObjectData, JS/Psyme.N, Troj/Agent.EK
Fecha: 29/ago/04
Plataforma: Windows NT, 2000 y XP
Tamaño: 11,668 bytes
Se ha detectado el envío masivo por medio de spam, de mensajes con las siguientes características:
De: [dirección falsa]
Para: [dirección falsa]
CC: [varias direcciones]
Asunto: [alguno de los siguientes]
1.jpg
2.jpg
3.jpg
4.jpg
5.jpg
[etc...]
Texto:
[vacío]
Account update
Datos adjuntos: [uno de los siguientes]
1.gif
2.gif
3.gif
4.gif
5.gif
[etc...]
En ocasiones no existe archivo adjunto. Cuando existe, el archivo no contiene código malicioso (tampoco se trata en realidad de una imagen), y es totalmente inofensivo.
El cuerpo del mensaje puede parecer en blanco (si se tiene la vista en modo HTML), pero contiene el código para explotar una vulnerabilidad del Internet Explorer que permite la descarga de una página en un sitio remoto, la cuál es detectada como CHM/Psyme.N.
Se trata de un archivo CHM (los archivos CHM son HTMLs compilados, normalmente ejecutados por el visor de la ayuda de Windows), generalmente descargado como DEFAULT.CHM.
Este archivo utiliza un exploit publicado como prueba de concepto, que al ser abierto, permite la ejecución de un código en JavaScript detectado como JS/Psyme.N. Este exploit funciona solo en Windows NT, 2000 y XP.
El JavaScript intenta descargar y ejecutar a su vez un troyano detectado como Troj/Agent.EK.
El exploit se vale de la vulnerabilidad conocida como "MHTML URL Processing vulnerability" (el sitio actualmente no es accesible).
Las vulnerabilidades explotadas están descriptas en los siguientes boletines de Microsoft:
MS03-032 Actualización acumulativa para IE (822925)
http://www.vsantivirus.com/vulms03-032.htmMS03-040 Actualización acumulativa para IE (828750)
http://www.vsantivirus.com/vulms03-040.htmRelacionados:
Exploit/ObjectData. Intenta descargar y ejecutar código
http://www.vsantivirus.com/exploit-objectdata.htmJS/Psyme.N. Descarga y ejecuta un troyano
http://www.vsantivirus.com/js-psyme-n.htmTroj/Agent.EK. Finaliza antivirus, descarga código
http://www.vsantivirus.com/troj-agent-ek.htmMás información:
http://www.vsantivirus.com/chm-psyme-n.htm
JS/Psyme.N. Descarga y ejecuta un troyanoNombre: JS/Psyme.N
Tipo: Caballo de Troya en JavaScript
Alias: JS_PSYME.N
Relacionados: Exploit/ObjectData, CHM/Psyme.N, Troj/Agent.EK
Fecha: 29/ago/04
Plataforma: Windows 32-bit
Tamaño: 1,730 bytes
Se ha detectado el envío masivo por medio de spam, de mensajes con las siguientes características:
De: [dirección falsa]
Para: [dirección falsa]
CC: [varias direcciones]
Asunto: [alguno de los siguientes]
1.jpg
2.jpg
3.jpg
4.jpg
5.jpg
[etc...]
Texto:
[vacío]
Account update
Datos adjuntos: [uno de los siguientes]
1.gif
2.gif
3.gif
4.gif
5.gif
[etc...]
En ocasiones no existe archivo adjunto. Cuando existe, el archivo no contiene código malicioso (tampoco se trata en realidad de una imagen), y es totalmente inofensivo.
El cuerpo del mensaje puede parecer en blanco (si se tiene la vista en modo HTML), pero contiene el código para explotar una vulnerabilidad del Internet Explorer que permite la descarga de una página en un sitio remoto, la cuál es detectada como CHM/Psyme.N.
Se trata de un archivo CHM (los archivos CHM son HTMLs compilados, normalmente ejecutados por el visor de la ayuda de Windows), generalmente descargado como DEFAULT.CHM.
Este archivo utiliza un exploit publicado como prueba de concepto, que al ser abierto, permite la ejecución de un código en JavaScript detectado como JS/Psyme.N. Este exploit funciona solo en Windows NT, 2000 y XP.
El código en JavaScript incluido en DEFAULT.HTM, toma ventaja del exploit para la vulnerabilidad ADODB.STREAM para descargar de Internet un archivo generalmente llamado DEFAULT.EXE (detectado como Troj/Agent.EK), que se copia como WMPLAYER.EXE, sobrescribiendo automáticamente el archivo del mismo nombre si se encuentra en cualquiera de las siguientes ubicaciones de la máquina infectada:
C:\Programmer\Windows Media Player\
C:\Program\Windows Media Player\
C:\Programme\Windows Media Player\
C:\Programmi\Windows Media Player\
C:\Programfiler\Windows Media Player\
C:\Programas\Windows Media Player\
C:\Archivos de programa\Windows Media Player\
C:\Program Files\Windows Media Player\
Aunque el exploit que descarga y ejecuta a este troyano, solo funciona en Windows NT, 2000 y XP, el script y el propio troyano pueden ejecutarse en cualquier otro Windows.
Las vulnerabilidades explotadas están descriptas en los siguientes boletines de Microsoft:
MS03-032 Actualización acumulativa para IE (822925)
http://www.vsantivirus.com/vulms03-032.htmMS03-040 Actualización acumulativa para IE (828750)
http://www.vsantivirus.com/vulms03-040.htmRelacionados:
Exploit/ObjectData. Intenta descargar y ejecutar código
http://www.vsantivirus.com/exploit-objectdata.htmCHM/Psyme.N. Intenta descargar y ejecutar troyano
http://www.vsantivirus.com/chm-psyme-n.htmTroj/Agent.EK. Finaliza antivirus, descarga código
http://www.vsantivirus.com/troj-agent-ek.htmMás información:
http://www.vsantivirus.com/js-psyme-n.htm
Troj/Agent.EK. Finaliza antivirus, descarga códigoNombre: Troj/Agent.EK
Tipo: Caballo de Troya
Alias: TROJ_AGENT.EK
Relacionados: Exploit/ObjectData, CHM/Psyme.N, JS/Psyme.N
Fecha: 29/ago/04
Plataforma: Windows 32-bit
Tamaño: 9,728 bytes, 4,992 bytes (FSG)
Se ha detectado el envío masivo por medio de spam, de mensajes con las siguientes características:
De: [dirección falsa]
Para: [dirección falsa]
CC: [varias direcciones]
Asunto: [alguno de los siguientes]
1.jpg
2.jpg
3.jpg
4.jpg
5.jpg
[etc...]
Texto:
[vacío]
Account update
Datos adjuntos: [uno de los siguientes]
1.gif
2.gif
3.gif
4.gif
5.gif
[etc...]
En ocasiones no existe archivo adjunto. Cuando existe, el archivo no contiene código malicioso (tampoco se trata en realidad de una imagen), y es totalmente inofensivo.
El cuerpo del mensaje puede parecer en blanco (si se tiene la vista en modo HTML), pero contiene el código para explotar una vulnerabilidad del Internet Explorer que permite la descarga de una página en un sitio remoto, la cuál es detectada como CHM/Psyme.N. Este archivo utiliza un exploit que permite la ejecución de un código en JavaScript detectado como JS/Psyme.N. Este código descarga de Internet un archivo generalmente llamado DEFAULT.EXE (detectado como Troj/Agent.EK).
Al ejecutarse DEFAULT.EXE, se crean los siguientes archivos:
c:\windows\system\wwnrot.exe
c:\windows\system\ewerfw.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
El troyano crea también la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
wpds.exe = c:\windows\system\wwnrot.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
wpds.exe = c:\windows\system\wwnrot.exe
WWNROT.EXE inyecta un hilo en el proceso de EXPLORER.EXE para ejecutar su componente EWERFW.EXE (el troyano propiamente dicho), quedando de este modo activo en memoria, sin ser visible en la lista de procesos del Administrador de Tareas.
Al ejecutarse, intenta finalizar la ejecución de los siguientes procesos, correspondientes a determinados antivirus y cortafuegos:
atupdater.exe
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avpupd.exe
avwupd32.exe
avxquar.exe
avxquar.exe
cfiaudit.exe
drwebupw.exe
escanh95.exe
escanhnt.exe
firewall.exe
icssuppnt.exe
icsupp95.exe
luall.exe
mcupdate.exe
nupgrade.exe
nupgrade.exe
outpost.exe
update.exe
También intenta descargar otros archivos desde las siguientes direcciones de Internet:
http:/ /allian?????p .sk
http:/ /coolwe?????psg .sk
http:/ /cryoft?????spirit .com
http:/ /dollyp????? .com
http:/ /execpa????? .com
http:/ /helpde?????s .com
http:/ /helpin?????outh .org
http:/ /jamesb?????nner .com
http:/ /koti .p?????
http:/ /miracl?????v6 .cz
http:/ /mounta?????wings .com
http:/ /mounta?????wings4 .com
http:/ /natura?????ros .com
http:/ /oracal?????l
http:/ /shock .?????ernet .com .pl
http:/ /SportL?????e .go .ro
http:/ /stroip?????ymer .ru
http:/ /theonl?????eword .com
http:/ /virtua?????hurch .com
http:/ /vision?????rsouls .org
http:/ /wingso?????rlife .com
http:/ /www .18?????thewoman .com
http:/ /www .19????? .pl
http:/ /www .45?????rtsdepot .com
http:/ /www .7p?????friko .pl
http:/ /www .ai?????computers .com .ar
http:/ /www .am?????ist .spb .ru
http:/ /www .ap?????is .pl
http:/ /www .ar?????sy .pl
http:/ /www .ar?????urspeaks .com
http:/ /www .as?????rmed .pl
http:/ /www .at?????hu
http:/ /www .at?????ique .pl
http:/ /www .av?????ar .ee
http:/ /www .av?????s .com .pl
http:/ /www .ba?????expo .spb .ru
http:/ /www .bo?????rt .cz
http:/ /www .br?????nerbros .com
http:/ /www .br?????o .gliwice .pl
http:/ /www .bu?????are .com
http:/ /www .cu?????aracd .go .ro
http:/ /www .da?????om .co .il
http:/ /www .do????? .net
http:/ /www .ea?????andard .co .ke
http:/ /www .el?????e-style .com
http:/ /www .el?????rsy .com
http:/ /www .el?????u .republika .pl
http:/ /www .en?????ex .by
http:/ /www .en?????ex-m .by
http:/ /www .en?????ser1 .fast .net
http:/ /www .er????? .pl
http:/ /www .eu?????pharm .pl
http:/ /www .ex?????eme-racing .lg .ua
http:/ /www .fo?????l .pl
http:/ /www .fo?????lab .sk
http:/ /www .fr?????er .hu
http:/ /www .ga?????ameditech .com
http:/ /www .ge?????rex .de
http:/ /www .go?????boy .dem .ru
http:/ /www .go?????gates .com
http:/ /www .ha?????s .pl
http:/ /www .he?????thcometh .com
http:/ /www .ho?????-studio .at
http:/ /www .ib?????us .sk
http:/ /www .ic?????et .pl
http:/ /www .in?????n .sk
http:/ /www .ja?????sbronner .com
http:/ /www .jb?????us .cz
http:/ /www .ju?????matchit .com
http:/ /www .ku????? .com .ua
http:/ /www .ku?????elecom .ru
http:/ /www .la?????ttadifiorenzuola .it
http:/ /www .lo?????sdog .net
http:/ /www .lt????? .spb .ru
http:/ /www .ma?????er .pl
http:/ /www .me?????ers .aon .at
http:/ /www .mo?????plassen1 .com
http:/ /www .mo?????tainwings2 .com
http:/ /www .mu?????ifoto .sk
http:/ /www .na?????drze .pl
http:/ /www .na?????itright .com
http:/ /www .na?????o .bbe .pl
http:/ /www .na?????obiwebspace .com
http:/ /www .ne?????a .pl
http:/ /www .ne?????and .gda .pl
http:/ /www .ni?????la .piwko .pl
http:/ /www .nt?????ab .com
http:/ /www .nu?????ep .sk
http:/ /www .oc?????va .pl
http:/ /www .od?????nictvo .sk
http:/ /www .of?????a .friko .pl
http:/ /www .ok?????roiler .ru
http:/ /www .on?????ne40 .com
http:/ /www .on?????ne50 .com
http:/ /www .ot?????lv
http:/ /www .pa?????495 .com
http:/ /www .pa?????oopzsv .co .yu
http:/ /www .pc?????ard .com .ua
http:/ /www .pe?????ect-beauty .at
http:/ /www .ph?????mag .pl
http:/ /www .po?????l .katowice .pl
http:/ /www .pr?????hetcollins .com
http:/ /www .pr?????i .cz
http:/ /www .pu?????uit .rv .ua
http:/ /www .py?????andia-boogie .pl
http:/ /www .qu?????ro .sk
http:/ /www .r-?????zar .ru
http:/ /www .ro?????kowski .pl
http:/ /www .si?????ic .ro
http:/ /www .si?????ron .go .ro
http:/ /www .sk?????ive .pl
http:/ /www .sm?????rc .pl
http:/ /www .so?????ring .com
http:/ /www .st?????-max .it
http:/ /www .su?????ud .com .pl
http:/ /www .sw????? .net
http:/ /www .sy?????em5electronics .com
http:/ /www .tc?????ebtv .com .ar
http:/ /www .th?????oman .com
http:/ /www .ti?????s .cz
http:/ /www .uk????? .pl
http:/ /www .va?????tion-network .net
http:/ /www .wy?????ian .iap .pl
http:/ /www .za?????da-rowery .pl
Relacionados:
Exploit/ObjectData. Intenta descargar y ejecutar código
http://www.vsantivirus.com/exploit-objectdata.htmCHM/Psyme.N. Intenta descargar y ejecutar troyano
http://www.vsantivirus.com/chm-psyme-n.htmJS/Psyme.N. Descarga y ejecuta un troyano
http://www.vsantivirus.com/js-psyme-n.htmMás información:
http://www.vsantivirus.com/troj-agent-ek.htmTroj/Spabot. Usa la PC infectada para enviar spamNombre: Troj/Spabot
Nombre NOD32: Win32/Spabot.C
Tipo: Caballo de Troya
Alias: FDoS-Spabot, Downloader-LZ, Spabot.A, Spabot.B, Trj/Spabot.A, TROJ_SPABOT.C, Trojan.DownLoader.520, Trojan.DownLoader.521, Trojan.Spabot, Trojan.Spabot.A, Trojan.Spabot.B, Trojan.Spabot.C, Trojan.Win32.Spabot.c, Trojan:Win32/Spabot.C, Win32.Spabot.A, Win32/SpaBot.A.Trojan, Win32/Spabot.C, Win32:Trojan-gen. {Other}
Plataforma: Windows 32-bit
Tamaño: varios
Caballo de Troya que permite el acceso no autorizado a la máquina infectada.
Es utilizado para convertir a los equipos atacados, en servidores para el envío de spam.
Está compuesto de los siguientes elementos:
029.exe
upd.exe
??##.tmp
ad3e.tmp
El archivo 029.EXE (2,560 bytes), descarga y ejecuta a UPD.EXE en la carpeta TEMP de Windows. 029.EXE podría tener cualquier otro nombre, y generalmente es descargado en la máquina de la víctima, usando una vulnerabilidad del Internet Explorer.
UPD.EXE (98,304 bytes), es el componente principal, que a su vez crea el siguiente archivo: ??##.TMP.
Este archivo (?? representa dos letras al azar y ## dos números también al azar, por ejemplo BD52.TMP), tiene un tamaño de 73,728 bytes, que en realidad se trata de un .DLL renombrado (se copia en la carpeta TEMP de Windows).
El mencionado DLL descarga el archivo AD3E.TMP, que contiene la lista de direcciones (URLs), de las que el troyano obtendrá más información para ejecutarse.
UPD.EXE también modifica el registro de Windows para asegurar la ejecución automática del troyano en cada reinicio del sistema, creando alguna de las siguientes entradas:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
mdetect = TEMP\[nombre del troyano]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
mdetect = TEMP\[nombre del troyano]
NOTA: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.
Cuando se ejecuta, el troyano inyecta en el mismo proceso del Explorer, el DLL creado antes (??##.TMP)
Cada vez que este DLL se ejecuta, el mismo examina la presencia en la carpeta TEMP del archivo AD3E.TMP.
Si no existe AD3E.TMP, entonces lo descarga de determinado sitio de Internet. Este archivo contiene una lista de direcciones IP a las que el troyano se conectará a través del puerto 5000 para recibir otras instrucciones. Estas incluyen la posibilidad de recibir y reenviar mensajes del tipo spam.
El troyano es capaz de enviar estos mensajes desde 171 dominios falsos y usando hasta 41 agentes de correo electrónico diferentes.
La puerta trasera abierta en el equipo infectado, permite a un atacante remoto descargar y ejecutar otros archivos desde diferentes direcciones, además de obtener información de la computadora de su víctima.
Más información:
http://www.vsantivirus.com/troj-spabot.htm
Adware/StatBlaster. Descarga y ejecuta adwareNombre: Adware/StatBlaster
Nombre NOD32: VBS/Psyme.W.gen
Tipo: Caballo de Troya del tipo Adware
Alias: AdClicker-O.dldr, AdvWare.MetaDirect.b, AdvWare.StatBlaster, AdvWare.WinFetcher, AdvWare.WinFetcher.b, Adware.StatBlaster, Adware.Statblaster.A, Adware/Poper, Adware/StatBlaster, application Adware-StatBlaster, CHM.Psyme.AM, CHM_PSYME.Y, JS.Petch, JS/Psyme.C*, MultiDropper-KU, Startpage.8.BF, StartPage-BN, TR/Spy.BLBlock, TR/Stomcc.05, TR/WWBars.1, Trj/Downloader.HK, Trj/Downloader.KX, Troj/Psyme-Fam, Troj/StartPa-BQ, TROJ_STRTPAGE.BQ, Trojan.DR.Small.JQ, Trojan.Droper.Small, Trojan.StartPage.115, Trojan.StartPage.BN, Trojan.Win32.Small.AN, TrojanDownloader.VBS.Psyme.y, TrojanDropper.Win32.Small.ge, TrojanDropper.Win32.Small.GE, VBS.Trojan.Psyme.W, VBS/Psyme, VBS/Psyme.W.gen, Win32.Startpage.FU, Win32:Trojan-gen. {Other}, Win32:Trojan-gen. {UPX!}
Actualización: 28/ago/04
Plataforma: Windows 32-bit
Tamaño: varios
Se trata de un software no deseado, del tipo parásito, que se instala al visitar páginas Web con determinadas ofertas de publicidad.
Es un programa ofrecido por una compañía llamada Wild Media, LLC, diseñado para desplegar avisos. El problema es que instala varios controles ActiveX y otra clase de código en los equipos de los usuarios que visitan diferentes sitios, sin advertencia explícita para el usuario.
Existen múltiples variantes, casi todas ellas se conectan a una página XML en el sitio de "statblaster.com", y descargan y ejecutan los archivos referenciados en dicha página.
Se trata de varios instaladores para diferentes clases de software. El resultado final para el usuario, es la instalación en su computadora de numerosos programas adicionales, todos ellos del tipo parásitos y adwares (barras de herramientas, buscadores, etc.), tales como "MemWatcher", "SideSearch", "Websearch", "IEDriver", "Apropos", etc.
También instala otros descargadores escritos en JavaScript para cualquier otra clase de software.
Procedimiento sugerido de limpieza
Eliminar este parásito, puede ocasionar que algunos de los programas que lo instalan, dejen de funcionar o no funcionen correctamente.
Antivirus
Para borrar manualmente el parásito, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Borrar Archivos temporales de Internet
Primero, debe borrar los archivos temporales de Internet.
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
Procedimiento para restaurar página de inicio y página de búsqueda en Internet Explorer
1. Cierre todas las ventanas del Internet Explorer abiertas
2. Seleccione "Mi PC", "Panel de control".
3. Haga clic en el icono "Opciones de Internet".
4. Seleccione la lengüeta "Programas".
5. Haga clic en el botón "Restablecer configuración Web"
6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI.
7. Haga clic en "Aceptar".
Cambiar la página de inicio del Internet Explorer
Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o haga clic en "Página en blanco"). O navegue hacia una página de su agrado, haga clic en Herramientas, Opciones de Internet, General, y finalmente haga clic en "Usar actual".
Cambiar las páginas de búsqueda del Internet Explorer
1. Inicie el Internet Explorer.
2. Haga clic en el botón "Búsqueda" de la barra de herramientas.
3. En el panel que se despliega (Nuevo, Siguiente, Personalizar), seleccione "Personalizar".
4. Asegúrese de marcar "Utilizar el asistente de búsqueda" (Use Search Assistant).
5. Haga clic en el botón "Reiniciar" (Reset).
6. Haga clic en el botón "Configuración de Autosearch" (Autosearch Settings).
7. Elija un proveedor de búsquedas en el menú (Search Provider).
8. Seleccione "Aceptar" hasta salir de todas las opciones
Más información:
http://www.vsantivirus.com/adware-statblaster.htm
