Troj/KillFiles.FZ. Borra diferentes adwaresNombre: Troj/KillFiles.FZ
Nombre Nod32: Win32/KillFiles.FZ
Tipo: Caballo de Troya
Alias: Trojan.AdRmove, Win32/KillFiles.FZ, Trojan.Killfiles, Del-457, Trojan.Win32.KillFiles.fz
Plataforma: Windows 32-bit
Tamaño: 215,040 bytes
Caballo de Troya que intenta borrar archivos y entradas en el registro de conocidos adwares.
Cuando se ejecuta, examina las unidades de disco y el registro del equipo infectado, buscando diferentes componentes de conocidos adwares, en carpetas como las siguientes y sus respectivas subcarpetas:
c:\
c:\archivos de programa\
c:\archivos de programa\archivos comunes\
c:\archivos de programa\common files\
c:\documents and settings\[usuario]\
c:\documents and settings\all users\
c:\program files\180search assistant
c:\windows\
c:\windows\all users\
c:\windows\profiles\[nombre usuario]\
c:\windows\system\
El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.
Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios.
Más información:
http://www.vsantivirus.com/troj-killfiles-fz.htmW32/Forbot.NAY. Se copia como "forboo.exe"Nombre: W32/Forbot.NAY
Nombre Nod32: Win32/Wootbot.NAY
Tipo: Gusano y Caballo de Troya de acceso remoto
Alias: Forbot.NAY, Win32/Wootbot.NAY, W32/Forbot-AY, Backdoor.Win32.Wootbot.gen, W32/Gaobot.worm.gen.g, WORM_WOOTBOT.GEN
Plataforma: Windows 32-bit
Tamaño: variable
Puertos: TCP 6030 y 6667
Este troyano con características de gusano, puede ser configurado para permitir el acceso a un atacante a la máquina infectada, utilizando canales de IRC (Internet Relay Chat).
Cuando se ejecuta, se instala en el directorio System con el siguiente nombre:
c:\windows\system\forboo.exe
Modifica algunas de las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
deejay = forboo.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
deejay = forboo.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
deejay = forboo.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
deejay = forboo.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
deejay = forboo.exe
El troyano permite a un atacante remoto, el control del equipo infectado mediante BOTS vía IRC (un bot es un programa que actúa como un usuario de IRC, y está preparado para responder o actuar automáticamente ejecutando ciertos comandos).
Algunas de las acciones posibles:
- Realizar ataques de denegación de servicio (DoS) mediante envío masivo de paquetes ping, syn, udp (flooding).
- Ejecutar un servidor socks4
- Reenvío de puertos
- Acceso a la libreta de direcciones de Windows
- Eliminar recursos compartidos, incluidos IPC$ y ADMIN$
- Escaneo de puertos
- Obtención de claves (CD Keys) de populares juegos
- Descarga y ejecución de archivos vía HTTP o por conexión directa
- Obtención de información de la computadora infectada (clave de registro de Windows, velocidad del procesador, memoria, usuarios, etc.)
- Agregar o quitar servicios del sistema
- Finalizar sesión, reiniciar o apagar el sistema
- Obtener nombres de usuarios de Yahoo Pager, .NET messenger y AOL Instant Messenger
- Iniciar o detener un servidor HTTP en cualquier puerto especificado, habilitando el acceso a determinados directorios del sistema al usuario remoto.
- Iniciar o detener un servidor FTP que permite examinar archivos del sistema, y cargar o descargar archivos.
- Finalizar procesos, incluyendo aquellos de conocidos antivirus y cortafuegos, además de herramientas del propio Windows.
Más información:
http://www.vsantivirus.com/forbot-nay.htm
