W32/Mydoom.AC. Se propaga por e-mail y P2PNombre: W32/Mydoom.AC
Tipo: Gusano de Internet y caballo de Troya
Alias: Mydoom.AC, W32.Mydoom.AC@mm
Plataforma: Windows 32-bit
Tamaño: 18,768 bytes, 5,200 bytes
Variante del Mydoom detectada el 30 de setiembre de 2004.
Se propaga por correo electrónico. Los remitentes de los mensajes son falsos, generados con los siguientes componentes [Usuario]+[Dominio]:
Donde [Usuario] es uno de los siguientes nombres:
angela
anthony
barbara
betty
charles
christopher
cissi
cynthia
daniel
david
donald
dorothy
edward
elizabeth
emily
ethan
george
hannah
hans
harris
helen
james
jennifer
john
josefine
joseph
karen
kevin
kimberly
lee
len
linda
maria
mark
martin
melissa
michael
nancy
nicholas
olivia
patricia
paul
richard
robert
ronald
sandra
susan
thomas
william
[Dominio] es el dominio del destinatario, o uno de los siguientes:
@ aol .com
@ hotmail .com
@ msn .com
@ yahoo .com
El asunto del mensaje puede ser alguno de los siguientes:
- Free Ernst Zundel
- Hackers for Historical Truth
- Hello, here is your information!
- Holohoax information
- Information about Holocaust
- Jewish Holocaust, another lie
- The Germar Rudolf Report
- The holocaust is a lie
El texto del mensaje puede ser alguno de los siguientes:
'Courage', the ability to recognizr an iniquitous thing and take action against it: www .vho .org
Ten thousand museums, ten thousand 'survivor' eyewitness testimonies, ten thousand TV documentaries, ten thousand Hollywood movies and ten thousand newspaper and magazine articles would not make a lie a truth. See www .ihr .com
If you are interested in the truth regarding the socalled Holocaust please see www .vho .org
The Holocaust is an outright lie. Please see www .zundelsite .org for much more. The truth deserves to be known.
El archivo adjunto, puede tener alguno de los siguientes nombres:
body
data
document
file
holohoax-report
info
report
text
trusth
Seguido de alguna de estas extensiones:
.bat
.cmd
.exe
.pif
.scr
Cuando se ejecuta, crea los siguientes archivos en el sistema infectado:
c:\windows\system\winhook32.exe
Para autoejecutarse en cada reinicio, modifica las siguientes entradas en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
SystemWideHook for Windows NT = "c:\windows\system\winhook32.exe"
HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\policies\Explorer
Run = "winhook32.exe"
El gusano se propaga por redes P2P como KaZaa, copiándose en la carpeta compartida con los siguientes nombres:
GameCrack2005.exe
Install.exe
MSNCracker2005.exe
Office2005.exe
Setup.exe
Windows_Activation.exe
XP_Crack.exe
El gusano evita enviar mensajes a cualquier dirección que en su nombre contenga algunas de las siguientes cadenas:
.edu
.gov
.mil
abuse
accoun
acketst
admin
anyone
arin.
avp
berkeley
borlan
bsd
bugs
certific
contact
example
fcnz
feste
fido
foo.
fsf.
gnu
gold-certs
google
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
math
mit.e
mozilla
msn.
mydomai
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
spm
submit
support
syma
tanford.e
the.bat
unix
usenet
utgers.ed
webmaster
www
you
your
Las direcciones para el envío de los mensajes infectados, son tomadas de archivos seleccionados de diferentes carpetas de las unidades de discos de la C a la Z. Los archivos examinados, poseen las siguientes extensiones:
.adb
.asp
.dbx
.htm
.php
.pl
.sht
.tbb
.txt
.wab
También genera direcciones al azar, usando nombres de dominio obtenidos de direcciones válidas.
Para no ejecutarse más de una vez en memoria, utiliza el siguiente mutex:
focDSJSODidvjfdsivraSDOSDoisdi
Intenta realizar un ataque de denegación de servicio al siguiente sitio:
www .holocaust-history .org
Más información:
http://www.vsantivirus.com/mydoom-ac.htmAdware.Adlogix. Modifica páginas de Inicio y búsquedaNombre: Adware.Adlogix
Nombre Nod32: Win32/Adware.Adlogix
Tipo: Parásito (Adware)
Alias: Win32/Adware.Adlogix, AdLogix, AdLogix.InPop, Trojan.Win32.VB.ex, AdLogix.InPop, AdLogix.Zamingo
Plataforma: Windows 32-bit
tamaño: variable
Se trata de un adware agregado por algunos sitios, para controlar la visualización de su publicidad. Los cambios realizados en el sistema, comprometen el rendimiento general de la navegación.
Se integra al Internet Explorer como un objeto del tipo BHO (Browser Helper Object), de modo que sus comunicaciones con el sitio que lo crea, no son interceptadas por el cortafuegos al ejecutarse como parte del propio navegador.
Un objeto BHO es un DLL que se adjunta a si mismo a cada nueva instancia del Internet Explorer, pudiendo ejecutar eventos predeterminados.
Se identifica en el registro con las siguientes clases ID:
{024de5eb-3649-445e-8d57-c09a9a33d479}
{0b90aa1b-f649-44c3-9fd3-736c332cbbcf}
{7d49a157-a1eb-4538-8b0d-6ac430c92d0b}
{f5192746-22d6-41bd-9d2d-1e75d14fbd3c}
Este parásito, puede descargar los siguientes archivos en la máquina del usuario:
inpop.inf
inpop.ocx
ipu.exe
phelper.dll
test.ocx
Más información:
http://www.vsantivirus.com/adlogix.htmW32/Bugbear.L. Cierra antivirus, se envía por e-mailNombre: W32/Bugbear.L
Nombre Nod32: Win32/Bugbear.L
Tipo: Gusano de Internet
Alias: Bugbear.L, Win32/Bugbear.L, W32/Bugbear-J, W32/Bugbear.j@MM
Plataforma: Windows 32-bit
Tamaño: 32,256 bytes (UPX)
Gusano detectado el 30 de setiembre de 2004, que se propaga vía correo electrónico, utilizando su propio motor SMTP (Simple Mail Transfer Protocol). Utiliza direcciones de remitente falsificadas (obtenidas de la misma forma que las direcciones de los destinatarios).
Cuando se ejecuta, el gusano crea una copia de si mismo con un nombre al azar en el directorio System de Windows:
c:\windows\system\??????.exe
También crea archivos temporales en la carpeta TEMP:
c:\windows\temp\????????.tmp
c:\windows\temp\????????.tmp
En todos los casos, "????????" son nombres al azar.
Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = [nombre al azar].exe
El [nombre al azar] consiste en 6 letras mayúsculas, por ejemplo:
MHGFDJ = MHGFDJ.EXE
Una vez activo, el gusano utiliza su propio motor SMTP para enviar copias de si mismo a través del correo electrónico, en mensajes construidos con asuntos y textos diferentes, seleccionados de una lista en su código, y con remitentes falsos.
Los mensajes pueden tener alguno de los siguientes archivos adjuntos:
a000032.jpg.scr
girls.jpg.scr
image.jpg.scr
love.jpg.scr
message.txt.scr
music.mp3.scr
myphoto.jpg.scr
news.doc.scr
photo.jpg.scr
pic.jpg.scr
readme.txt.scr
song.wav.scr
video.avi.scr
you.jpg.scr
Intenta finalizar cualquier proceso activo presente en la siguiente lista (ello incluye antivirus y cortafuegos):
_avp32.exe
_avpcc.exe
_avpm.exe
ackwin32.exe
anti-trojan.exe
apvxdwin.exe
autodown.exe
avconsol.exe
ave32.exe
avgctrl.exe
avkserv.exe
avnt.exe
avp.exe
avp32.exe
avpcc.exe
avpdos32.exe
avpm.exe
avptc32.exe
avpupd.exe
avsched32.exe
avwin95.exe
avwupd32.exe
blackd.exe
blackice.exe
cfiadmin.exe
cfiaudit.exe
cfinet.exe
cfinet32.exe
claw95.exe
claw95cf.exe
cleaner.exe
cleaner3.exe
dvp95.exe
dvp95_0.exe
ecengine.exe
esafe.exe
espwatch.exe
f-agnt95.exe
findviru.exe
fprot.exe
f-prot.exe
f-prot95.exe
fp-win.exe
frw.exe
f-stopw.exe
iamapp.exe
iamserv.exe
ibmasn.exe
ibmavsp.exe
icload95.exe
icloadnt.exe
icmon.exe
icsupp95.exe
icsuppnt.exe
iface.exe
iomon98.exe
jedi.exe
lockdown2000.exe
lookout.exe
luall.exe
moolive.exe
mpftray.exe
n32scanw.exe
navapw32.exe
navlu32.exe
navnt.exe
navw32.exe
navwnt.exe
nisum.exe
nmain.exe
normist.exe
nupgrade.exe
nvc95.exe
outpost.exe
padmin.exe
pavcl.exe
pavsched.exe
pavw.exe
pccwin98.exe
pcfwallicon.exe
persfw.exe
rav7.exe
rav7win.exe
rescue.exe
safeweb.exe
scan32.exe
scan95.exe
scanpm.exe
scrscan.exe
serv95.exe
smc.exe
sphinx.exe
sweep95.exe
tbscan.exe
tca.exe
tds2-98.exe
tds2-nt.exe
vet95.exe
vettray.exe
vscan40.exe
vsecomr.exe
vshwin32.exe
vsstat.exe
webscanx.exe
wfindv32.exe
zonealarm.exe
Más información:
http://www.vsantivirus.com/bugbear-l.htm
