HTML/Simulator.A. Descarga y ejecuta archivosNombre: HTML/Simulator.A
Tipo: Caballo de Troya
Alias: Simulator, HTML_SIMULATOR.A, Troj/Simulator.A
Plataforma: Windows 32-bit
Tamaño: 33,792 bytes
Se trata de un script embebido en un mensaje con formato HTML, que descarga y ejecuta un archivo malicioso de Internet cuando el usuario lo visualiza.
El mensaje, enviado en forma de spam, simula ser una advertencia sobre una vulnerabilidad de Windows, mencionando la existencia de un nuevo virus que se aprovecha de dicho fallo.
Las características del mensaje son las siguientes:
Asunto:
Security Alert: There will be a high risk virus this month!
Texto del mensaje:
A worm will exploits the Windows LSASS vulnerability, wich
Is a buffer overrun vulnerability that allows remote code
execution and enables an attacker to gain full control of
the infected system. This vulnerability is discussed in
detail in the following pages: MS04-011_MICROSOFT_WINDOWS -
in www .microsoft .com You must download a security package
in microsoft .com.
Cuando el mensaje es visualizado, un script insertado en su código HTML abre el navegador en un sitio malicioso:
http://www.xpe??????ment.com/sp/swf/search.htm
Al visualizarse esa página, desde ese sitio se descarga y ejecuta un archivo malicioso (el archivo y el sitio, pueden ser modificados por el autor del mensaje).
Más información:
http://www.vsantivirus.com/simulator-a.htmW32/Gaobot.UF. Se copia como "svshost.exe"Nombre: W32/Gaobot.UF
Nombre Nod32: Win32/Agobot.UF
Tipo: Gusano de Internet y caballo de Troya
Alias: Gaobot.UF, Agobot.UF, Backdoor.Agobot.3.Gen, Backdoor.Agobot.uf, W32.HLLW.Gaobot, W32/Agobot.AOK, W32/Gaobot.ACA, W32/Gaobot.worm.gen.q, Win32.HLLW.Agobot , Win32/Agobot.UF , Worm Generic.GA, Worm/Agobot.27.BQ, WORM_AGOBOT.YT
Plataforma: Windows 32-bit
Puertos: TCP/135, TCP/445, TCP/80
Tamaño: 66,975 bytes
Gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de conocidas vulnerabilidades.
Un intruso pueda acceder en forma remota a la computadora infectada, a través del IRC.
Se ejecuta solo en Windows NT, 2000 y XP, e intenta robar contraseñas y claves de conocidos juegos de computadora.
Se copia en el sistema infectado con el siguiente nombre:
c:\windows\system32\svshost.exe
Agrega las siguientes entradas en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Smsservice = "svshost.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Smsservice = "svshost.exe"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AACOMPLETE
HKLM\SYSTEM\CurrentControlSet\Services\aacomplete
El gusano roba del PC infectado, los posibles identificadores y llaves (CD keys) de conocidos video juegos.
Posee además un componente de acceso remoto por puerta trasera vía IRC, que permite a un atacante realizar numerosas acciones en el equipo infectado, incluidos ataques de denegación de servicio (DoS), a blancos específicos. Algunas acciones posibles:
- Ejecutar comandos en forma remota
- Eliminar procesos seleccionados
- Examinar el tráfico HTTP, FTP, e IRC (sniffer)
- Finalizar servicios de Windows
- Listar los procesos activos
- Obtener archivos a través de FTP y HTTP
- Obtener direcciones de correo de la computadora infectada
- Obtener información del registro
- Obtener un determinado URL
- Realizar ataques del tipo "floods" (HTTP, ICMP, SYN, y UDP)
- Reiniciar la computadora
- Robar contraseñas
Cuando se ejecuta, puede detener los siguientes procesos, algunos de ellos pertenecientes a conocidos antivirus y cortafuegos (ver lista en el link)
Más información:
http://www.vsantivirus.com/gaobot-uf.htmBack/Ranky.AW. Troyano que instala un servidor proxyNombre: Back/Ranky.AW
Nombre Nod32: Win32/TrojanProxy.Ranky.AW
Tipo: Caballo de Troya de acceso remoto
Alias: Ranky.AW, Win32/TrojanProxy.Ranky.AW, TrojanProxy.Win32.Ranky.ax, Win32.Ranck.AR[trojan], TR/Proxy.Ranky.AX, TR/Proxy.Ranky.AY, BKDR_RANDEX.AX
Plataforma: Windows 32-bit
Tamaño: 22,448 bytes
Este caballo de Troya abre un puerto TCP al azar, y actúa en el equipo infectado como un servidor proxy. Esto le permite a un usuario remoto utilizar la computadora infectada para permanecer oculto, usándola para sus acciones maliciosas a otras computadoras o sitios de Internet.
Una vez ejecutado, el troyano escucha conexiones entrantes desde determinadas direcciones IP, y queda a la espera de diferentes comandos del usuario remoto.
Intenta descargar archivos de los siguientes sitios:
http://vhdefag.????meip.net/a.php?
http://gdvme.mi????.nu/a.php?
http://www.ird-????bh.com/a.php?
http://fvcqx.dy????lias.net/a.php?
Estos sitios actualmente son inaccesibles, pero podrían ser sustituidos por otros si el autor del troyano modifica su código.
El troyano crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
VCbvnczsxcX = [nombre y camino del troyano]
También crea la siguiente entrada para guardar información:
HKLM\Software\Microsoft\DownloadManager
El troyano genera el siguiente mutex para no ejecutarse más de una vez en memoria:
VVBNDDCS
Más información:
http://www.vsantivirus.com/back-ranky-aw.htmW32/Forbot.BB. Se copia como "aim.exe"Nombre: W32/Forbot.BB
Tipo: Gusano y Caballo de Troya de acceso remoto
Alias: Forbot.BB, W32/Forbot-BB, W32/Gaobot.worm.gen.e, Backdoor.Win32.Wootbot.gen
Plataforma: Windows 32-bit
Tamaño: variable
Este troyano con características de gusano, puede ser configurado para permitir el acceso a un atacante a la máquina infectada, utilizando canales de IRC (Internet Relay Chat).
Cuando se ejecuta, se instala en el directorio System con el siguiente nombre:
c:\windows\system\aim.exe
Modifica algunas de las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
Aim Quick Start = aim.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Aim Quick Start = aim.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Aim Quick Start = aim.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
Aim Quick Start = aim.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Aim Quick Start = aim.exe
HKLM\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_AIM_QUICK_START
El troyano permite a un atacante remoto, el control del equipo infectado mediante BOTS vía IRC (un bot es un programa que actúa como un usuario de IRC, y está preparado para responder o actuar automáticamente ejecutando ciertos comandos).
Algunas de las acciones posibles:
- Realizar ataques de denegación de servicio (DoS) mediante envío masivo de paquetes ping, syn, udp (flooding).
- Ejecutar un servidor socks4
- Reenvío de puertos
- Acceso a la libreta de direcciones de Windows
- Eliminar recursos compartidos, incluidos IPC$ y ADMIN$
- Escaneo de puertos
- Obtención de claves (CD Keys) de populares juegos
- Descarga y ejecución de archivos vía HTTP o por conexión directa
- Obtención de información de la computadora infectada (clave de registro de Windows, velocidad del procesador, memoria, usuarios, etc.)
- Agregar o quitar servicios del sistema
- Finalizar sesión, reiniciar o apagar el sistema
- Obtener nombres de usuarios de Yahoo Pager, .NET messenger y AOL Instant Messenger
- Iniciar o detener un servidor HTTP en cualquier puerto especificado, habilitando el acceso a determinados directorios del sistema al usuario remoto.
- Iniciar o detener un servidor FTP que permite examinar archivos del sistema, y cargar o descargar archivos.
- Finalizar procesos, incluyendo aquellos de conocidos antivirus y cortafuegos, además de herramientas del propio Windows, como los siguientes (ver lista en el link)
Más información:
http://www.vsantivirus.com/forbot-bb.htmW32/Forbot.BA. Se copia como "sysdebug.exe"Nombre: W32/Forbot.BA
Tipo: Gusano y Caballo de Troya de acceso remoto
Alias: Forbot.BA, W32/Forbot-BA, W32/Gaobot.worm.gen.e, Backdoor.Win32.Wootbot.gen
Plataforma: Windows 32-bit
Tamaño: variable
Este troyano con características de gusano, puede ser configurado para permitir el acceso a un atacante a la máquina infectada, utilizando canales de IRC (Internet Relay Chat).
Cuando se ejecuta, se instala en el directorio System con el siguiente nombre:
c:\windows\system\sysdebug.exe
Modifica algunas de las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
Auto updat = sysdebug.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Auto updat = sysdebug.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Auto updat = sysdebug.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
Auto updat = sysdebug.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Auto updat = sysdebug.exe
HKLM\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_AUTO_UPDAT
El troyano permite a un atacante remoto, el control del equipo infectado mediante BOTS vía IRC (un bot es un programa que actúa como un usuario de IRC, y está preparado para responder o actuar automáticamente ejecutando ciertos comandos).
Algunas de las acciones posibles:
- Realizar ataques de denegación de servicio (DoS) mediante envío masivo de paquetes ping, syn, udp (flooding).
- Ejecutar un servidor socks4
- Reenvío de puertos
- Acceso a la libreta de direcciones de Windows
- Eliminar recursos compartidos, incluidos IPC$ y ADMIN$
- Escaneo de puertos
- Obtención de claves (CD Keys) de populares juegos
- Descarga y ejecución de archivos vía HTTP o por conexión directa
- Obtención de información de la computadora infectada (clave de registro de Windows, velocidad del procesador, memoria, usuarios, etc.)
- Agregar o quitar servicios del sistema
- Finalizar sesión, reiniciar o apagar el sistema
- Obtener nombres de usuarios de Yahoo Pager, .NET messenger y AOL Instant Messenger
- Iniciar o detener un servidor HTTP en cualquier puerto especificado, habilitando el acceso a determinados directorios del sistema al usuario remoto.
- Iniciar o detener un servidor FTP que permite examinar archivos del sistema, y cargar o descargar archivos.
- Finalizar procesos, incluyendo aquellos de conocidos antivirus y cortafuegos, además de herramientas del propio Windows, como los siguientes (ver lista en el link)
Más información:
http://www.vsantivirus.com/forbot-ba.htmW32/Forbot.BK. Se copia como "win64.exe"Nombre: W32/Forbot.BK
Tipo: Gusano y Caballo de Troya de acceso remoto
Alias: Forbot.BK, WORM_WOOTBOT.AX, Win32.ForBot.BK[worm], BackDoor.Wootbot.P
Plataforma: Windows 32-bit
Tamaño: 108,897 bytes
Este troyano con características de gusano, puede ser configurado para permitir el acceso a un atacante a la máquina infectada, utilizando canales de IRC (Internet Relay Chat).
Cuando se ejecuta, se instala en el directorio System con el siguiente nombre:
c:\windows\system\win64.exe
Modifica algunas de las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
Microsoft Secure Messenger.NET Service = win64.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Secure Messenger.NET Service = win64.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Microsoft Secure Messenger.NET Service = win64.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
Microsoft Secure Messenger.NET Service = win64.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Secure Messenger.NET Service = win64.exe
HKLM\SYSTEM\CurrentControlSet\Services
\Microsoft Secure Messenger.NET Service
El troyano permite a un atacante remoto, el control del equipo infectado mediante BOTS vía IRC (un bot es un programa que actúa como un usuario de IRC, y está preparado para responder o actuar automáticamente ejecutando ciertos comandos).
Algunas de las acciones posibles:
- Realizar ataques de denegación de servicio (DoS) mediante envío masivo de paquetes ping, syn, udp (flooding).
- Ejecutar un servidor socks4
- Reenvío de puertos
- Acceso a la libreta de direcciones de Windows
- Eliminar recursos compartidos, incluidos IPC$ y ADMIN$
- Escaneo de puertos
- Obtención de claves (CD Keys) de populares juegos
- Descarga y ejecución de archivos vía HTTP o por conexión directa
- Obtención de información de la computadora infectada (clave de registro de Windows, velocidad del procesador, memoria, usuarios, etc.)
- Agregar o quitar servicios del sistema
- Finalizar sesión, reiniciar o apagar el sistema
- Obtener nombres de usuarios de Yahoo Pager, .NET messenger y AOL Instant Messenger
- Iniciar o detener un servidor HTTP en cualquier puerto especificado, habilitando el acceso a determinados directorios del sistema al usuario remoto.
- Iniciar o detener un servidor FTP que permite examinar archivos del sistema, y cargar o descargar archivos.
- Finalizar procesos.
Más información:
http://www.vsantivirus.com/forbot-bk.htm
