W32/Sykel.A. Usa fallo en LSASS y redes KaZaa e ICQNombre: W32/Sykel.A
Tipo: Gusano de Internet
Alias: Sykel, W32.Sykel
Plataforma: Windows 32-bit
Tamaño: 17,920 bytes
Este gusano intenta explotar la vulnerabilidad en el componente LSASS de Windows, descrito en el siguiente boletín:
MS04-011 Actualización crítica de Windows (835732)
http://www.vsantivirus.com/vulms04-011.htmTambién intenta propagarse a través de la red de intercambio de archivos entre usuarios, KaZaa, y también ICQ.
Afecta solo a Windows NT, Windows 2000 y Windows XP. Su ejecución en un equipo infectado, degrada el rendimiento de éste y de su conexión a Internet.
Al ejecutarse, se copia en el siguiente archivo:
c:\windows\system32\iexp1orer.exe
Luego, crea la siguiente entrada en el registro para autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
iestart = c:\windows\system32\iexp1orer.exe
Se copia también en las carpetas compartidas por defecto del KaZaa y del ICQ, con los siguientes nombres:
1.exe
antibush.scr
childporno.pif
crazzygirls.scr
dap53 crack.exe
dap53.exe
dap71.exe
dvdplayer.exe
eroticgirls2.0.exe
fantasy.scr
hello.pif
icq2004-final.exe
icqcrack.exe
icqlite.exe
icqpro2003b crack.exe
icqpro2003b.exe
iMeshV4 crack.exe
iMeshV4.exe
kmd.exe
LimeWireWin.exe
matrix.scr
matrix.scr
Morpheus.exe
myfack.pif
mylove.pif
mymusic.pif
newvirus.exe
nicegirlsshowv12.scr
opera7.7.exe
opera7.x crack.exe
pinguin5.exe
rulezzz.scr
trillian 2.0 crack.exe
trillian-v2.74h.exe
tropicallagoonss.scr
winamp5.exe
winamp6.exe
WinZip 9.0 crack.exe
WinZip 9.0.exe
wrar330 crack.exe
wrar330.exe
you the best.scr
zlsSetup_45_538_001.exe
Intenta conectarse al puerto TCP/445 de direcciones IP generadas al azar. Si logra hacerlo, el gusano envía el código necesario para que en el equipo remoto se ejecute una interfase de comandos (shell), en un puerto TCP también seleccionado al azar, con un servidor FTP.
Se conecta al servidor FTP en el puerto creado y descarga en el equipo remoto una copia del gusano.
También envía los siguientes mensajes a todos los contactos del ICQ (si el ICQ está instalado):
fun game http:/ /www .scionicmusic .com/ajr/game .exe =)
funy game http:/ /www .scionicmusic .com/ajr/game .exe =))
i now play in game http:/ /www .scionicmusic .com/ajr/game .exe
my photos (archived) http:/ /www .llc .unibo .it/claroline142/photo .exe
whoah! check this out! (self-extracting archive)
http:/ /64 .40 .98 .94/icon/icon .exe
funny flash-game
) http:/ /69 .93 .58 .116/game .exe
http:/ /www .llc .unibo .it/claroline142/photo .exe lol =))
it's all about you http:/ /69 .93 .58 .116/game .exe
http:/ /www .llc .unibo .it/claroline142/photo .exe i cried
http:/ /64 .40 .98 .94/icon/icon .exe funny :D
Estas direcciones contienen una versión del Mydoom.Y o del troyano Surila.NAA.2:
W32/Mydoom.Y. Descarga y ejecuta otros archivos
http://www.vsantivirus.com/mydoom-y.htmTroj/Surila.NAA.2. Troyano de acceso remoto
http://www.vsantivirus.com/troj-surila-naa-2.htmMás información:
http://www.vsantivirus.com/sykel-a.htmTroj/Surila.NAA.2. Troyano de acceso remotoNombre: Troj/Surila.NAA.2
Tipo: Caballo de Troya de acceso remoto
Alias: Backdoor.Nemog.C
Plataforma: Windows 32-bit
Tamaño: 242,688 bytes
Este troyano, programado en Visual C++ y comprimido con la herramienta, puede ser descargado y ejecutado por el gusano Mydoom (nada impide que el troyano sea descargado y ejecutado por otros métodos).
Solo funciona en equipos con Windows NT, 2000, XP o 2003.
Cuando se ejecuta, oculta su actividad en la máquina infectada, mientras se instala como un servidor proxy HTTP, y como un servidor relay de SMTP (permite el reenvío de spam).
Modifica el archivo HOSTS de Windows, para impedir el acceso a los siguientes sitios, todos ellos pertenecientes a fabricantes de antivirus:
avp .com
ca .com
customer .symantec .com
dispatch .mcafee .com
download .mcafee .com
downloads1 .kaspersky-labs .com
downloads2 .kaspersky-labs .com
downloads3 .kaspersky-labs .com
downloads4 .kaspersky-labs .com
downloads-eu1 .kaspersky-labs .com
downloads-us1 .kaspersky-labs .com
f-secure .com
kaspersky .com
kaspersky-labs .com
liveupdate .symantec .com
liveupdate .symantecliveupdate .com
mast .mcafee .com
mcafee .com
my-etrust .com
nai .com
networkassociates .com
rads .mcafee .com
secure .nai .com
securityresponse .symantec .com
sophos .com
symantec .com
trendmicro .com
update .symantec .com
updates .symantec .com
us .mcafee .com
viruslist .com
viruslist .com
www .avp .com
www .ca .com
www .f-secure .com
www .kaspersky .com
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .trendmicro .com
www .viruslist .com
Intenta conectarse a numerosos servidores IRC desde donde espera recibir determinados comandos.
Utiliza los siguientes puertos para estas conexiones:
3306
4242
4646
4661
6565
8080
Cuando se ejecuta, se copia en la carpeta de inicio del equipo infectado:
[carpeta de inicio]\dx32cxlp.exe
Donde [carpeta de inicio] es tomada del valor asignado a "Common Startup" en la siguiente rama del registro:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Shell Folders
Esto puede ser una de las siguientes carpetas:
* Windows XP, 2000 (español e inglés)
c:\documents and settings\all users\menú inicio\programas\inicio
c:\documents and settings\all users\start menu\programs\startup
El troyano crea también los siguientes archivos:
c:\windows\system32\dx32cxconf.ini
c:\windows\system32\dx32cxel.sys
c:\windows\system32\dx32cxlp.exe
c:\windows\system32\svkp.sys
El componente DX32CXEL.SYS se instala como un servicio en el equipo de la víctima:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DX32CXEL\
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP\
HKLM\SYSTEM\CurrentControlSet\Services\dx32cxel\
HKLM\SYSTEM\CurrentControlSet\Services\SVKP\
Cuando este servicio se ejecuta, el mismo no puede ser detectado por un antivirus en un modo de escaneo convencional.
El troyano abre otros puertos TCP al azar.
Más información en:
http://www.vsantivirus.com/troj-surila-naa-2.htm
