Troj/Ducky.A. Explota la vulnerabilidad en JPEGNombre: Troj/Ducky.A
Tipo: Caballo de Troya
Alias: Ducky.A, Trojan.Ducky, Bloodhound.Exploit.13, Exploit.Win32.MS04-028.gen, Win32/JPEGexploit.A
Plataforma: Windows 32-bit
Tamaño: variable
Caballo de Troya que explota la vulnerabilidad provocada por un desbordamiento de búfer en la librería GDI+, utilizada en severas aplicaciones y sistemas operativos de Microsoft, incluyendo entre otros, los siguientes productos:
- Internet Explorer 6 Service Pack 1
- Windows XP y Windows XP Service Pack 1
- Office 2003 (Outlook, Word, Excel, etc.)
- Office XP Service Pack 3 (Outlook, Word, Excel, etc.)
- Windows Server 2003
El fallo, permite la ejecución de archivos en forma remota.
Más información:
MS04-028 Ejecución de código en proceso JPEG (833987)
http://www.vsantivirus.com/vulms04-028.htmEl troyano utiliza un archivo JPG de tal modo que cuando un usuario vulnerable lo visualiza, se intenta descargar y ejecutar en su máquina un archivo. La descarga es realizada desde el dominio "maybeyes.biz".
El archivo descargado se copia en la siguiente ubicación:
c:\y.exe
Más información:
http://www.vsantivirus.com/troj-ducky-a.htmTroj/Ducky.B. Explota la vulnerabilidad en JPEGNombre: Troj/Ducky.B
Tipo: Caballo de Troya
Alias: Ducky.B, Trojan.Ducky.B, Bloodhound.Exploit.13, Exploit.Win32.MS04-028.gen, Win32/JPEGexploit.A
Plataforma: Windows 32-bit
Tamaño: variable
Caballo de Troya que explota la vulnerabilidad provocada por un desbordamiento de búfer en la librería GDI+, utilizada en severas aplicaciones y sistemas operativos de Microsoft, incluyendo entre otros, los siguientes productos:
- Internet Explorer 6 Service Pack 1
- Windows XP y Windows XP Service Pack 1
- Office 2003 (Outlook, Word, Excel, etc.)
- Office XP Service Pack 3 (Outlook, Word, Excel, etc.)
- Windows Server 2003
El fallo, permite la ejecución de archivos en forma remota.
Más información:
MS04-028 Ejecución de código en proceso JPEG (833987)
http://www.vsantivirus.com/vulms04-028.htmEl troyano utiliza un archivo JPG de tal modo que cuando un usuario vulnerable lo visualiza, se intenta descargar y ejecutar en su máquina un archivo. La descarga es realizada desde la dirección IP 69.93.58.116.
El archivo descargado se copia en la siguiente ubicación:
c:\windows\system32\t2.exe
Más información:
http://www.vsantivirus.com/troj-ducky-b.htmBack/RtKit.121. Acceso con privilegios de administradorNombre: Back/RtKit.121
Nombre Nod32: Win32/RtKit.121
Tipo: Caballo de Troya de acceso remoto
Alias: Backdoor.Rtkit.B, Win32/RtKit.121, Backdoor.RtKit.121, BackDoor.Rtkit.Q, Trojan.Rtkit.121, Win32/RtKit.121, Win32:Trojan-gen. {VC}
Plataforma: Windows 2000, XP
Tamaño: varios
Este caballo de Troya permite a un atacante remoto, tomar el control de varios aspectos de la computadora infectada con privilegios de administrador. Cuando se ejecuta, el troyano puede crear los siguientes archivos en un subdirectorio llamado SSERVER, dentro del subdirectorio COM de System32:
c:\windows\system32\com\sserver\ntrootkit.exe
c:\windows\system32\com\sserver\globalc.dll
c:\windows\system32\com\sserver\npf.sys
c:\windows\system32\com\sserver\rtkit.log
Nota: C:\Windows en Windows XP, C:\WinNT en Windows 2000, NT. El subdirectorio COM es un directorio legítimo creado por Windows.
NTROOTKIT.EXE (128,000 bytes), es una copia del propio troyano, y GLOBALC.DLL (122,880 bytes) es un componente del mismo. NPF.SYS (30,366 bytes), es una herramienta legítima de redes.
La carpeta "SSERVER" y su contenido están ocultos. Para visualizarlos vea la sección "Mostrar las extensiones verdaderas de los archivos" al final de esta descripción.
Este troyano también puede instalar a NTROOTKIT.EXE y NPF.SYS como servicios que serán ejecutados cada vez que Windows se reinicie, por los cambios realizados en las siguientes ramas del registro:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NPF
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RTKIT
HKLM\SYSTEM\CurrentControlSet\Services\ROOTKIT1
HKLM\SYSTEM\CurrentControlSet\Services\NPF
HKLM\SOFTWARE\RtKit
El usuario remoto puede realizar las siguientes acciones en un sistema infectado:
Abrir un shell remoto (consola de control)
Cargar o descargar archivos
Ejecutar ataques DoS a direcciones IP específicas
Esconder o mostrar archivos
Esconder o mostrar claves del registro
Esconder o mostrar directorios
Esconder o mostrar nombres de servicios y de procesos
Listar todos los procesos
Matar procesos activos
Modificar las contraseñas
Reiniciar la computadora infectada
Más información:
http://www.vsantivirus.com/back-rtkit-121.htmBack/RtKit.10. Acceso con privilegios de administradorNombre: Back/RtKit.10
Nombre Nod32: Win32/RtKit.10
Tipo: Caballo de Troya de acceso remoto
Alias: BackDoor.Rootkit.10, Backdoor.Rtkit, Backdoor.Rtkit.1.0.B, Backdoor.Rtkit.1.0.D, Backdoor.RtKit.10, Backdoor.RtKit.10.a, Backdoor.RtKit.10.b, Backdoor.RtKit.10.d, BackDoor.Rtkit.11, Backdoor.RtKit.11.a, Backdoor.Rtkit.11.A, Backdoor.RtKit.A, Backdoor.RtKit.B, BackDoor.Rtkit.C, Backdoor.RtKit.E, Backdoor.RtKit.G, BackDoor.Rtkit.I, BackDoor.Rtkit.J, BackDoor.Rtkit.L, Backdoor:Win32/RtKit.1_0, Backdoor:Win32/RtKit.E, BackDoor-ASW.dll, BackDoor-ASW.svr, BDS/RtKit.10.b, BDS/RtKit.10.d, BDS/RtKit.11.A, BKDR_NTRTKIT.A, BKDR_RTKIT.A, BKDR_TIKTR.A, HackTool/NTRootkit, NtRootkit.1_1, NTRootKit-E, NTRootKit-E.dll, Troj/Bdoor-ASW, Troj/Ntrtkit.A, Troj/RtKit-11, TROJ_ROOTKIT.A, Trojan.Rtkit.10, Trojan.Rtkit.10.A, Trojan.Rtkit.11.A, Trojan.Rtkit.B, Trojan:Win32/NTRootKit.E, W32/NTrootkit.A, W32/RtKit.A, Win32.RtKit.11, Win32.RtKit.11.A, Win32/RtKit.10, Win32/RtKit.10.B, Win32/RtKit.10.D, Win32/RtKit.11.A, Win32:Trojan-gen. {Other}
Plataforma: Windows 2000, XP
Tamaño: varios
Este caballo de Troya permite a un atacante remoto, tomar el control de varios aspectos de la computadora infectada con privilegios de administrador. Cuando se ejecuta, el troyano puede crear los siguientes archivos en un subdirectorio de System, llamado RtKit:
C:\windows\System32\RtKit\rtkit.exe
C:\windows\System32\RtKit\globalc.dll
C:\windows\System32\RtKit\npf.sys
C:\windows\System32\RtKit\ntcs.dll
C:\windows\System32\RtKit\packet.dll
Nota: C:\Windows en Windows XP, C:\WinNT en Windows 2000, NT.
Los archivos NPF.SYS (30,366 bytes), NTSC.DLL (47,616 bytes) y PACKET.DLL (40,960 bytes) son herramientas de redes legítimas. RTKIT.EXE (128,000 bytes), es una copia del propio troyano, y GLOBALC.DLL (122,880 bytes) es un componente del mismo.
La carpeta "RtKit" y su contenido están ocultos. Para visualizarlos vea la sección "Mostrar las extensiones verdaderas de los archivos" al final de esta descripción.
Este troyano también puede instalar a RTKIT.EXE y NPF.SYS como servicios que serán ejecutados cada vez que Windows se reinicie, por los cambios realizados en las siguientes ramas del registro:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NPF
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RTKIT
HKLM\SYSTEM\CurrentControlSet\Services\Rtkit
HKLM\SYSTEM\CurrentControlSet\Services\NPF
HKCU\S\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers
c:\windows\system32\ntrootkit.exe = WIN2000
El usuario remoto puede realizar las siguientes acciones en un sistema infectado:
Abrir un shell remoto (consola de control)
Cargar o descargar archivos
Ejecutar ataques DoS a direcciones IP específicas
Esconder o mostrar archivos
Esconder o mostrar claves del registro
Esconder o mostrar directorios
Esconder o mostrar nombres de servicios y de procesos
Listar todos los procesos
Matar procesos activos
Modificar las contraseñas
Reiniciar la computadora infectada
http://www.vsantivirus.com/back-rtkit-10.htmBack/RtKit.10.B. Acceso con privilegios de administradorNombre: Back/RtKit.10.B
Nombre Nod32: Win32/RtKit.10.B
Tipo: Caballo de Troya de acceso remoto
Alias: BackDoor.Rootkit.10, Backdoor.Rtkit, Backdoor.Rtkit.1.0.B, Backdoor.Rtkit.1.0.D, Backdoor.RtKit.10, Backdoor.RtKit.10.a, Backdoor.RtKit.10.b, Backdoor.RtKit.10.d, BackDoor.Rtkit.11, Backdoor.RtKit.11.a, Backdoor.Rtkit.11.A, Backdoor.RtKit.A, Backdoor.RtKit.B, BackDoor.Rtkit.C, Backdoor.RtKit.E, Backdoor.RtKit.G, BackDoor.Rtkit.I, BackDoor.Rtkit.J, BackDoor.Rtkit.L, Backdoor:Win32/RtKit.1_0, Backdoor:Win32/RtKit.E, BackDoor-ASW.dll, BackDoor-ASW.svr, BDS/RtKit.10.b, BDS/RtKit.10.d, BDS/RtKit.11.A, BKDR_NTRTKIT.A, BKDR_RTKIT.A, BKDR_TIKTR.A, HackTool/NTRootkit, NtRootkit.1_1, NTRootKit-E, NTRootKit-E.dll, Troj/Bdoor-ASW, Troj/Ntrtkit.A, Troj/RtKit-11, TROJ_ROOTKIT.A, Trojan.Rtkit.10, Trojan.Rtkit.10.A, Trojan.Rtkit.11.A, Trojan.Rtkit.B, Trojan:Win32/NTRootKit.E, W32/NTrootkit.A, W32/RtKit.A, Win32.RtKit.11, Win32.RtKit.11.A, Win32/RtKit.10, Win32/RtKit.10.B, Win32/RtKit.10.D, Win32/RtKit.11.A, Win32:Trojan-gen. {Other}
Plataforma: Windows 2000, XP
Tamaño: varios
Este caballo de Troya permite a un atacante remoto, tomar el control de varios aspectos de la computadora infectada con privilegios de administrador.
Más información:
http://www.vsantivirus.com/back-rtkit-10-b.htmBack/RtKit.10.D. Acceso con privilegios de administradorNombre: Back/RtKit.10.D
Nombre Nod32: Win32/RtKit.10.D
Tipo: Caballo de Troya de acceso remoto
Alias: BackDoor.Rootkit.10, Backdoor.Rtkit, Backdoor.Rtkit.1.0.B, Backdoor.Rtkit.1.0.D, Backdoor.RtKit.10, Backdoor.RtKit.10.a, Backdoor.RtKit.10.b, Backdoor.RtKit.10.d, BackDoor.Rtkit.11, Backdoor.RtKit.11.a, Backdoor.Rtkit.11.A, Backdoor.RtKit.A, Backdoor.RtKit.B, BackDoor.Rtkit.C, Backdoor.RtKit.E, Backdoor.RtKit.G, BackDoor.Rtkit.I, BackDoor.Rtkit.J, BackDoor.Rtkit.L, Backdoor:Win32/RtKit.1_0, Backdoor:Win32/RtKit.E, BackDoor-ASW.dll, BackDoor-ASW.svr, BDS/RtKit.10.b, BDS/RtKit.10.d, BDS/RtKit.11.A, BKDR_NTRTKIT.A, BKDR_RTKIT.A, BKDR_TIKTR.A, HackTool/NTRootkit, NtRootkit.1_1, NTRootKit-E, NTRootKit-E.dll, Troj/Bdoor-ASW, Troj/Ntrtkit.A, Troj/RtKit-11, TROJ_ROOTKIT.A, Trojan.Rtkit.10, Trojan.Rtkit.10.A, Trojan.Rtkit.11.A, Trojan.Rtkit.B, Trojan:Win32/NTRootKit.E, W32/NTrootkit.A, W32/RtKit.A, Win32.RtKit.11, Win32.RtKit.11.A, Win32/RtKit.10, Win32/RtKit.10.B, Win32/RtKit.10.D, Win32/RtKit.11.A, Win32:Trojan-gen. {Other}
Plataforma: Windows 2000, XP
Tamaño: varios
Este caballo de Troya permite a un atacante remoto, tomar el control de varios aspectos de la computadora infectada con privilegios de administrador.
http://www.vsantivirus.com/back-rtkit-10-b.htmBack/RtKit.11.A. Acceso con privilegios de administradorNombre: Back/RtKit.11.A
Nombre Nod32: Win32/RtKit.11.A
Tipo: Caballo de Troya de acceso remoto
Alias: BackDoor.Rootkit.10, Backdoor.Rtkit, Backdoor.Rtkit.1.0.B, Backdoor.Rtkit.1.0.D, Backdoor.RtKit.10, Backdoor.RtKit.10.a, Backdoor.RtKit.10.b, Backdoor.RtKit.10.d, BackDoor.Rtkit.11, Backdoor.RtKit.11.a, Backdoor.Rtkit.11.A, Backdoor.RtKit.A, Backdoor.RtKit.B, BackDoor.Rtkit.C, Backdoor.RtKit.E, Backdoor.RtKit.G, BackDoor.Rtkit.I, BackDoor.Rtkit.J, BackDoor.Rtkit.L, Backdoor:Win32/RtKit.1_0, Backdoor:Win32/RtKit.E, BackDoor-ASW.dll, BackDoor-ASW.svr, BDS/RtKit.10.b, BDS/RtKit.10.d, BDS/RtKit.11.A, BKDR_NTRTKIT.A, BKDR_RTKIT.A, BKDR_TIKTR.A, HackTool/NTRootkit, NtRootkit.1_1, NTRootKit-E, NTRootKit-E.dll, Troj/Bdoor-ASW, Troj/Ntrtkit.A, Troj/RtKit-11, TROJ_ROOTKIT.A, Trojan.Rtkit.10, Trojan.Rtkit.10.A, Trojan.Rtkit.11.A, Trojan.Rtkit.B, Trojan:Win32/NTRootKit.E, W32/NTrootkit.A, W32/RtKit.A, Win32.RtKit.11, Win32.RtKit.11.A, Win32/RtKit.10, Win32/RtKit.10.B, Win32/RtKit.10.D, Win32/RtKit.11.A, Win32:Trojan-gen. {Other}
Plataforma: Windows 2000, XP
Tamaño: varios
Este caballo de Troya permite a un atacante remoto, tomar el control de varios aspectos de la computadora infectada con privilegios de administrador.
http://www.vsantivirus.com/back-rtkit-11-a.htmDe estos tres últimos, ver la descripción completa en el siguiente enlace:
Back/RtKit.10. Acceso con privilegios de administrador
http://www.vsantivirus.com/back-rtkit-10.htm
