Troj/Ontarg.A. Roba contraseñas de HotmailNombre: Troj/Ontarg.A
Nombre Nod32: Win32/Ontarg.A
Tipo: Caballo de Troya robador de contraseñas
Alias: Ontarg, BackDoor.Generic.580, BackDoor.Generic.581, Backdoor.Ontarg, Backdoor.Ontarg.A, BackDoor.Ontarg.C, BackDoor.Ontarg.D, BackDoor.Ontarg.E, Backdoor:Win32/Ontarg, Backdoor:Win32/Ontarg.A, Bck/Ontarg.A, Bck/Ontarg.D, BKDR_ONTARG.A, Generic BackDoor.f, SWF/Ontarg.A, SWF_ONTARG.A, Troj/Ontarg-A, TROJ_ONTARG.A, Trojan.Ontarg, VB-BackDoor.a.gen, W32/Ontarg.A, Win32.OnTarget, Win32/Ontarg.A, Win32:Trojan-gen. {VB}
Plataforma: Windows 32-bit
Tamaño: 123,734 bytes
Caballo de Troya que puede llegar a nuestro PC en la forma de un ejecutable cuyo icono comúnmente está asociado a los archivos de Macromedia Flash.
Si se ejecuta, puede engañar al usuario para robarle su contraseña y nombre de usuario de Hotmail.
No posee capacidad de autopropagación. Puede ser copiado manualmente en el sistema, o descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.
Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios.
Cuando se ejecuta, libera los siguientes archivos en la carpeta de Windows:
c:\windows\makemoney.exe
c:\windows\msg.exe
c:\windows\msg.swf
NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).
MAKEMONEY.EXE es un juego inofensivo, que no contiene código malicioso.
MSG.EXE es el archivo que muestra una animación de flash (MSG.SWF), a intervalos regulares en el extremo inferior derecho de la pantalla.
Dicha animación permanece activa en memoria, y despliega constantemente una ventana que simula ser una notificación de un mensaje recibido en el MSN Messenger, con el siguiente texto:
Ha recibido un nuevo mensaje de
correo electrónico de Maria Camila
Castillo.
Cuando el usuario hace clic sobre esta falsa notificación, su navegador es redirigido a la siguiente dirección:
http:/ /pas????.tk/login .passport .net /uilogin .srf?id=2
Esta dirección abre una pantalla falsa de acceso a Hotmail, que le pregunta al usuario ingresar su nombre de usuario y contraseña. Estos datos son almacenados en una base de datos en dicho sitio.
No produce ningún otro cambio en el sistema, ni tiene capacidad de autoejecución.
Requiere la acción directa del usuario damnificado para activarse (doble clic sobre el archivo).
Como siempre, se recomienda no pinchar sobre enlaces que sean ofrecidos en mensajes no solicitados (esto incluye tarjetas de saludos, etc.).
Tampoco abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.
Más información:
http://www.vsantivirus.com/troj-ontarg-a.htmW32/Gaobot.WL. Se copia como "scheduler.exe"Nombre: W32/Gaobot.WL
Tipo: Gusano de Internet y caballo de Troya
Alias: Gaobot.WL, Agobot.WL, WORM_AGOBOT.WL, WORM_AGOBOT.GEN, Backdoor.Agobot.gen, W32/Gaobot.worm.gen, W32.HLLW.Gaobot.gen
Plataforma: Windows 32-bit
Puertos: TCP/135, TCP/445, TCP/80
Tamaño: 269,304 bytes
Es un gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de conocidas vulnerabilidades.
Un intruso pueda acceder en forma remota a la computadora infectada, a través del IRC.
Se ejecuta solo en Windows NT, 2000 y XP, e intenta robar contraseñas y claves de conocidos juegos de computadora.
Se copia en el sistema infectado con el siguiente nombre:
c:\windows\system32\scheduler.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Agrega las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Service Scheduler = "scheduler.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Service Scheduler = "scheduler.exe"
HKLM\System\CurrentControlSet
\Enum\Root\LEGACY_SERVICE_SCHEDULER
HKLM\System\CurrentControlSet\Services\Service Scheduler
Modifica el archivo HOSTS para que los siguientes sitios no puedan ser accedidos desde una máquina infectada:
avp .com
ca .com
customer .symantec .com
dispatch .mcafee .com
download .mcafee .com
f-secure .com
kaspersky .com
liveupdate .symantec .com
liveupdate .symantecliveupdate .com
mast .mcafee .com
mcafee .com
my-etrust .com
nai .com
networkassociates .com
rads .mcafee .com
secure .nai .com
securityresponse .symantec .com
sophos .com
symantec .com
trendmicro .com
update .symantec .com
updates .symantec .com
us .mcafee .com
viruslist .com
www .avp .com
www .ca .com
www .f-secure .com
www .kaspersky .com
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .trendmicro .com
www .viruslist .com
El gusano roba del PC infectado, los posibles identificadores y llaves (CD keys) de conocidos video juegos.
Posee además un componente de acceso remoto por puerta trasera vía IRC, que permite a un atacante realizar numerosas acciones en el equipo infectado, incluidos ataques de denegación de servicio (DoS), a blancos específicos. Algunas acciones posibles:
- Ejecutar comandos en forma remota
- Eliminar procesos seleccionados
- Examinar el tráfico HTTP, FTP, e IRC (sniffer)
- Finalizar servicios de Windows
- Listar los procesos activos
- Obtener archivos a través de FTP y HTTP
- Obtener direcciones de correo de la computadora infectada
- Obtener información del registro
- Obtener un determinado URL
- Realizar ataques del tipo "floods" (HTTP, ICMP, SYN, y UDP)
- Reiniciar la computadora
- Robar contraseñas
Cuando se ejecuta, puede detener los siguientes procesos, algunos de ellos pertenecientes a otros gusanos:
bbeagle.exe
d3dupdate.exe
Explorer
i11r54n4.exe
irun4.exe
rate.exe
Ssate.exe
ssate.exe
TaskMon
taskmon.exe
upnphost
winsys.exe
El gusano es capaz de borrar todos los archivos cuyos nombres comiencen con la siguiente cadena:
SOUND
Intenta realizar ataques de denegación de servicio (DoS) a los siguientes sitios:
de .yahoo .com
nitro .ucsc .edu
verio .fr
www .1und1 .de
www .above .net
www .belwue .de
www .burst .net
www .cogentco .com
www .d1asia .com
www .level3 .com
www .lib .nthu .edu .tw
www .nifty .com
www .nocster .com
www .rit .edu
www .schlund .net
www .st .lib .keio .ac .jp
www .stanford .edu
www .switch .ch
www .utwente .nl
www .verio .com
www .xo .net
yahoo .co .jp
Más información:
http://www.vsantivirus.com/gaobot-wl.htm
W32/Gaobot.WO. Se copia como "otdm.exe"Nombre: W32/Gaobot.WO
Tipo: Gusano de Internet y caballo de Troya
Alias: Gaobot.WO, Agobot.WO, WORM_AGOBOT.WO, WORM_AGOBOT.GEN, Backdoor.Agobot.gen, W32/Gaobot.worm.gen, W32.HLLW.Gaobot.gen
Plataforma: Windows 32-bit
Puertos: TCP/135, TCP/445, TCP/80
Tamaño: 55,296 bytes
Es un gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de conocidas vulnerabilidades.
Un intruso pueda acceder en forma remota a la computadora infectada, a través del IRC.
Se ejecuta solo en Windows NT, 2000 y XP, e intenta robar contraseñas y claves de conocidos juegos de computadora.
Se copia en el sistema infectado con el siguiente nombre:
c:\windows\system32\otdm.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Agrega las siguientes entradas en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Mchine Debg Manger = "otdm.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Mchine Debg Manger = "otdm.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Mchine Debg Manger = "otdm.exe"
El gusano roba del PC infectado, los posibles identificadores y llaves (CD keys) de conocidos video juegos.
Posee además un componente de acceso remoto por puerta trasera vía IRC, que permite a un atacante realizar numerosas acciones en el equipo infectado, incluidos ataques de denegación de servicio (DoS), a blancos específicos. Algunas acciones posibles:
- Ejecutar comandos en forma remota
- Eliminar procesos seleccionados
- Examinar el tráfico HTTP, FTP, e IRC (sniffer)
- Finalizar servicios de Windows
- Listar los procesos activos
- Obtener archivos a través de FTP y HTTP
- Obtener direcciones de correo de la computadora infectada
- Obtener información del registro
- Obtener un determinado URL
- Realizar ataques del tipo "floods" (HTTP, ICMP, SYN, y UDP)
- Reiniciar la computadora
- Robar contraseñas
IMPORTANTE:
Descargue y ejecute cada parche antes de proceder al resto de la limpieza, desde los siguientes enlaces:
Elevación de privilegios en las tareas de SQL Server
http://www.vsantivirus.com/vulms-059-060-061.htmFalla crítica en servidores Microsoft IIS 5.0 (MS03-007)
http://www.vsantivirus.com/vulms03-007.htmMS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htmMás información:
http://www.vsantivirus.com/gaobot-wo.htm
