W32/Netsky.B1. Se propaga con mensajes en portugués Nombre: W32/Netsky.B1
Nombre Nod32: Win32/Netsky.B1
Tipo: Gusano de Internet
Alias: Netsky.B1, I-Worm.NetSky.b, NetSky.AF, Win32/Netsky.B1, WORM_NETSKY.AF, W32.Netsky.AD@mm, Win32.Netsky.AE, Win32.Netsky.AE!ZIP, Win32/Netsky.AE.Worm, W32/Netsky.ag@MM, Netsky.AE, Win32/Netsky.AE.Worm
Plataforma: Windows 32-bit
Tamaño: 31,232 bytes (EXE), 31,362 bytes (ZIP)
Gusano reportado el 13 de octubre de 2004, que se propaga por correo electrónico dentro de archivos .ZIP o como un adjunto ejecutable.
Puede copiarse a si mismo a las carpetas compartidas de todas las unidades de disco. Ello permite que se pueda propagar por redes P2P y redes locales.
Cuando se ejecuta despliega una ventana de error falsa con el siguiente mensaje:
Fail
File Corrupted replace this!!
[ OK ]
Se copia en el directorio de Windows con el siguiente nombre:
c:\windows\MsnMsgrs.exe
El gusano crea las siguientes copias de si mismo en el directorio de Windows:
c:\windows\AIDS!.zip
c:\windows\banco!.zip
c:\windows\bingos!.zip
c:\windows\carros!.zip
c:\windows\circular.zip
c:\windows\contas!!.zip
c:\windows\criancas!.zip
c:\windows\dinheiro!!.zip
c:\windows\docs.zip
c:\windows\festa!!.zip
c:\windows\flipe.zip
c:\windows\grana!!.zip
c:\windows\imposto.zip
c:\windows\jogo!.zip
c:\windows\lantrocidade.zip
c:\windows\LINUSTOR.zip
c:\windows\lulao!.zip
c:\windows\missao.zip
c:\windows\revista.zip
c:\windows\sampa!!.zip
c:\windows\sorteado!!.zip
c:\windows\tetas.zip
c:\windows\vadias!.zip
c:\windows\vips!.zip
c:\windows\zerado.zip
El gusano crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MsnMsgr = c:\windows\MsnMsgrs.exe -alev
El gusano busca direcciones electrónicas en archivos con las siguientes extensiones, en todas las unidades de disco y mapeadas en red, de la C a la Z, excepto unidades de CD-Rom:
.adb
.asp
.dbx
.doc
.eml
.htm
.html
.oft
.php
.pl
.rtf
.SCS
.sht
.tbb
.txt
.uin
.vbs
.wab
Cuando detecta una conexión a Internet establecida, el gusano comienza a propagarse a si mismo.
Los mensajes enviados poseen las siguientes características:
De: [una dirección falsa]
Asunto: [uno de los siguientes]
-
- 0123456789
- Abra rapido isso!!!!
- acrdito que em voce!!!
- algo a mais
- AmaVoce
- amor me liga
- AninhaPutinha +55operado6992292246
- arquivo zipado PGP???
- Boleto Pague
- campanhadafome
- diga
- encontro voce!
- estou doente veja!!!
- falea verdade!!!
- ferias nos E.U.A
- ganhe muita grana
- gostaria disso e voce???
- grana
- Hackers do Brasil
- impressao!!
- Lembra?
- massas!
- me diz o queacha?
- me veja peladinha
- Medical Labs Exames!!!
- meu telefone liga
- morto
- olha que isso!!!
- parabens!
- pescaria por kilo
- PizzaVeneza!
- Policia SP
- pq nao me liga??
- preenche ai ta bom
- promocao de viajens de fim de ano
- Proposta de emprego!!
- receitas de bolo!!
- retorna logo isso!!
- reza de sao tome!!!!.
- robos!
- sinto voce!!
- sua conta bancaria zerada
- Sua Conta!!
- Sua saude esta bem?
- Surto
- te amo!
- tudo sobre voce sabe
- Vacina contra o HIV!!
- ve ai logo ta
- veja detalhes!!!.
- veja o que tem no zip e me liga
- voce passou :D!!!
Texto del mensaje: [uno de los siguientes]
- Abra rapido isso!!!!
- acrdito que em voce!!!
- agradou
- agua!
- AIDS!
- algo a mais
- AMA!
- AmaVoce
- amor me liga
- arquivo zipado PGP???
- banco!
- bingos!
- Boleto Pague
- botao
- brasil!
- campanhadafome
- carros!
- circular
- contas!!
- criancas!
- dinheiro!!
- email
- encontro voce!
- estou doente veja!!!
- falea verdade!!!
- ferias nos E.U.A
- festa!!
- flipe
- ganhe muita grana
- gostaria disso e voce???
- grana
- grana!!
- Hackers do Brasil
- imposto
- impressao!!
- jogo!
- lantrocidade
- Lembra?
- LINUSTOR
- loterias
- lulao!
- massas!
- me diz o queacha?
- me veja peladinha
- Medical Labs Exames!!!
- meu telefone liga
- missao
- morto
- olha que isso!!!
- parabens!
- pescaria por kilo
- PizzaVeneza!
- Policia SP
- pq nao me liga??
- preenche ai ta bom
- promocao de viajens de fim de ano
- Proposta de emprego!!
- receitas de bolo!!
- retorna logo isso!!
- revista
- reza de sao tome!!!!.
- robos!
- sampa!!
- sinto voce!!
- sorteado!!
- sua conta bancaria zerada
- Sua Conta!!
- Sua saude esta bem?
- Surto
- te amo!
- tetas
- tudo sobre voce sabe
- vaca
- Vacina contra o HIV!!
- vadias!
- ve ai logo ta
- veja detalhes!!!.
- veja o que tem no zip e me liga
- vips!
- voce passou :D!!!
- war3!
- zerado
Datos adjuntos: [seleccionado al azar de la siguiente lista]:
_(.???
_-).???
___.???
_D.???
agradou.???
agua!.???
AIDS!.???
aqui.???
banco!.???
bingos!.???
botao.???
botao.???
brasil!.???
carros!.???
circular.???
contas!!.???
criancas!.???
dinheiro!!.???
docs.???
email.???
festa!!.???
flipe.???
grana!!.???
grana.???
imposto.???
impressao!!.???
jogo!.???
lantrocidade.???
LINUSTOR.???
loterias.???
lulao!.???
massas!.???
missao.???
revista.???
robos!.???
sampa!!.???
sorteado!!.???
tetas.???
vaca.???
vadias!.???
vips!.???
voce.???
war3!.???
zerado.???
Donde "???" puede ser una o dos extensiones. Cuando son dos extensiones, la primera extensión es una de las siguientes:
.htm
.rtf
.txt
La última extensión siempre es una de las siguientes:
.bat
.com
.pif
.scr
.zip
Ejemplos:
voce.htm.scr
brasil.com
Cuando el archivo es un .ZIP, el contenido es uno de los otros archivos. Sin embargo, en ocasiones falla y el adjunto es un archivo .ZIP de cero bytes, totalmente inofensivo.
El gusano busca carpetas con el texto SHARING o SHARE en sus nombres, y se copia a si mismo en ellas con los siguientes nombres:
aninha gatinha!.zip.scr
barrio.scr
cafe!!.zip.scr
Canaval2004!.jpg.pif
Carnaval em Salvador!!.zip.scr
caspa.scr
celulares!!.zip.scr
clica ai logo meu.scr
comoserrico!.zip.scr
importante!!!!!.zip.scr
minhavida!.zip.exe
MulataDandoOcujpg.scr
multas.pif
paula!.scr
puteiros!!.scr
receitas de bolo!!.zip.scr
rede globo tv!.zip.scr
ResidentEvil2.zip.scr
rocha.scr
traficoemSP!.scr
vadias peladas!!.scr
vida!!.zip.scr
VivaNaBaia!.scr
vota!.zip.scr
El gusano intenta borrar entradas en el registro pertenecientes a otros malwares.
Más información:
http://www.vsantivirus.com/netsky-b1.htmW32/Gaobot.AAB. Se copia como "msmsgs.exe"Nombre: W32/Gaobot.AAB
Tipo: Gusano de Internet y caballo de Troya
Alias: Gaobot.AAB, Agobot.AAB, WORM_AGOBOT.AAB, WORM_AGOBOT.GEN, Backdoor.Agobot.gen, W32/Gaobot.worm.gen, W32.HLLW.Gaobot.gen
Plataforma: Windows 32-bit
Puertos: TCP/135, TCP/445, TCP/80
Tamaño: 185,344 bytes
Gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de conocidas vulnerabilidades.
Un intruso pueda acceder en forma remota a la computadora infectada, a través del IRC.
Se ejecuta solo en Windows NT, 2000 y XP, e intenta robar contraseñas y claves de conocidos juegos de computadora.
Esta variante puede propagarse a través de los componentes backdoors del gusano Sasser o del troyano Optix, si alguno de ellos está activo en el sistema.
Se copia en el sistema infectado con el siguiente nombre:
c:\windows\system32\msmsgs.exe
Agrega las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Msn Update Manager (Sp2) = "msmsgs.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Msn Update Manager (Sp2) = "msmsgs.exe"
Modifica el archivo HOSTS para que los siguientes sitios no puedan ser accedidos desde una máquina infectada:
avp .com
ca .com
customer .symantec .com
dispatch .mcafee .com
download .mcafee .com
f-secure .com
kaspersky .com
liveupdate .symantec .com
liveupdate .symantecliveupdate .com
mast .mcafee .com
mcafee .com
my-etrust .com
nai .com
networkassociates .com
rads .mcafee .com
secure .nai .com
securityresponse .symantec .com
sophos .com
symantec .com
trendmicro .com
update .symantec .com
updates .symantec .com
us .mcafee .com
viruslist .com
viruslist .com
www .avp .com
www .ca .com
www .f-secure .com
www .kaspersky .com
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .trendmicro .com
www .viruslist .com
El gusano roba del PC infectado, los posibles identificadores y llaves (CD keys) de conocidos video juegos.
Posee además un componente de acceso remoto por puerta trasera vía IRC, que permite a un atacante realizar numerosas acciones en el equipo infectado, incluidos ataques de denegación de servicio (DoS), a blancos específicos. Algunas acciones posibles:
- Ejecutar comandos en forma remota
- Eliminar procesos seleccionados
- Examinar el tráfico HTTP, FTP, e IRC (sniffer)
- Finalizar servicios de Windows
- Listar los procesos activos
- Obtener archivos a través de FTP y HTTP
- Obtener direcciones de correo de la computadora infectada
- Obtener información del registro
- Obtener un determinado URL
- Realizar ataques del tipo "floods" (HTTP, ICMP, SYN, y UDP)
- Reiniciar la computadora
- Robar contraseñas
Cuando se ejecuta, puede detener los siguientes procesos, algunos de ellos pertenecientes a conocidos antivirus y cortafuegos (ver lista en el link)
Intenta realizar ataques de denegación de servicio (DoS), a los siguientes servidores:
de .yahoo .com
nitro .ucsc .edu
verio .fr
www .1und1 .de
www .above .net
www .belwue .de
www .burst .net
www .cogentco .com
www .d1asia .com
www .level3 .com
www .lib .nthu .edu .tw
www .nifty .com
www .nocster .com
www .rit .edu
www .schlund .net
www .st .lib .keio .ac .jp
www .stanford .edu
www .switch .ch
www .utwente .nl
www .verio .com
www .xo .net
yahoo .co .jp
Más información:
http://www.vsantivirus.com/gaobot-aab.htmW32/Gaobot.AAA. Se copia como "ei10.exe"Nombre: W32/Gaobot.AAA
Tipo: Gusano de Internet y caballo de Troya
Alias: Gaobot.AAA, Agobot.AAA, WORM_AGOBOT.AAA, WORM_AGOBOT.GEN, Backdoor.Agobot.gen, W32/Gaobot.worm.gen, W32.HLLW.Gaobot.gen
Plataforma: Windows 32-bit
Puertos: TCP/135, TCP/445, TCP/80
Tamaño: 104,448 bytes
Gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de conocidas vulnerabilidades.
Un intruso pueda acceder en forma remota a la computadora infectada, a través del IRC.
Se ejecuta solo en Windows NT, 2000 y XP, e intenta robar contraseñas y claves de conocidos juegos de computadora.
Se copia en el sistema infectado con el siguiente nombre:
c:\windows\system32\ei10.exe
Agrega las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ei10.exe = "ei10.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
ei10.exe = "ei10.exe"
Modifica el archivo HOSTS para que los siguientes sitios no puedan ser accedidos desde una máquina infectada:
avp .com
ca .com
customer .symantec .com
dispatch .mcafee .com
download .mcafee .com
f-secure .com
kaspersky .com
liveupdate .symantec .com
liveupdate .symantecliveupdate .com
mast .mcafee .com
mcafee .com
my-etrust .com
nai .com
networkassociates .com
rads .mcafee .com
secure .nai .com
securityresponse .symantec .com
sophos .com
symantec .com
trendmicro .com
update .symantec .com
updates .symantec .com
us .mcafee .com
viruslist .com
viruslist .com
www .avp .com
www .ca .com
www .f-secure .com
www .kaspersky .com
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .trendmicro .com
www .viruslist .com
El gusano roba del PC infectado, los posibles identificadores y llaves (CD keys) de conocidos video juegos.
Posee además un componente de acceso remoto por puerta trasera vía IRC, que permite a un atacante realizar numerosas acciones en el equipo infectado, incluidos ataques de denegación de servicio (DoS), a blancos específicos. Algunas acciones posibles:
- Ejecutar comandos en forma remota
- Eliminar procesos seleccionados
- Examinar el tráfico HTTP, FTP, e IRC (sniffer)
- Finalizar servicios de Windows
- Listar los procesos activos
- Obtener archivos a través de FTP y HTTP
- Obtener direcciones de correo de la computadora infectada
- Obtener información del registro
- Obtener un determinado URL
- Realizar ataques del tipo "floods" (HTTP, ICMP, SYN, y UDP)
- Reiniciar la computadora
- Robar contraseñas
Cuando se ejecuta, puede detener los siguientes procesos, algunos de ellos pertenecientes a conocidos antivirus y cortafuegos (ver lista en el link)
El gusano es capaz de ocultar todos los archivos y carpetas cuyo nombre contenga la siguiente cadena:
soun
Más información:
http://www.vsantivirus.com/gaobot-aaa.htm
