Back/Hackarmy.AQ. Troyano de acceso remotoNombre: Back/Hackarmy.AQ
Nombre Nod32: Win32/Hackarmy.AQ
Tipo: Caballo de Troya
Alias: Hackarmy.AQ, Win32/Hackarmy.AQ, Backdoor.Hackarmy.1.Gen, Backdoor.Win32.Hackarmy.w, Backdoor/AZV.Variant, BackDoor-AZV.gen, BKDR_HACKARMY.S, W32/Hackarmy.AG, W32/Hackarmy.AH@bd, W32/Hackarmy.AL@bd, W32/Spybot.gen.worm
Plataforma: Windows 32-bit
Tamaño: 22,016 bytes
Este troyano crea un proxy IRC en la máquina infectada, y abre una puerta trasera (backdoor), que permite a un atacante remoto tomar el control del equipo infectado.
No se propaga por si mismo, pero suele ser enviado en forma masiva a grupos de noticias, en mensajes con asuntos que intentan despertar la curiosidad del usuario, para que éste haga clic sobre un enlace que descarga al troyano, generalmente en un archivo con extensión .ZIP.
La infección ocurre si el usuario descarga y abre el contenido del .ZIP.
Cuando se ejecuta el contenido del .ZIP (que puede tener diferentes nombres, por ejemplo BUSTY_NEIGHBOUR.SCR), se crea el siguiente archivo:
c:\windows\system\winxpupdate.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
Luego ejecuta dicha copia, y permanece activo en memoria, finalizando el proceso del archivo original.
Crea las siguientes entradas en el registro de Windows, para ejecutarse en cada inicio del sistema:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Winsock32driver = [archivo del gusano]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Winsock32driver = [archivo del gusano]
El troyano abre una puerta trasera, e intenta conectarse al un servidor IRC predeterminado, a través del puerto TCP/6667.
Un atacante remoto puede utilizar esta puerta para tomar el control del equipo infectado y realizar alguna de las siguientes acciones:
- Actualizarse a si mismo desde Internet
- Borrar archivos
- Descargar y ejecutar cualquier archivo
- Desconexión de Internet
- Finalizar cualquier proceso activo en memoria
- Iniciar o finalizar un canal IRC
- Listar todos los procesos activos
- Realizar un escaneo de puertos
- Robar información del sistema y del usuario (IP, etc.)
El troyano también podría ser enviado en forma premeditada o descargado de sitios no seguros, o desde redes P2P.
Más información:
http://www.vsantivirus.com/back-hackarmy-aq.htmBack/Hackarmy.AP. Troyano de acceso remotoNombre: Back/Hackarmy.AP
Nombre Nod32: Win32/Hackarmy.AP
Tipo: Caballo de Troya
Alias: Hackarmy.AP, Win32/Hackarmy.AP, Backdoor.Hacarmy.E, BackDoor-AZV.gen
Plataforma: Windows 32-bit
Tamaño: 18,976 bytes (UPX)
Este troyano, escrito en C++ y comprimido con UPX, crea un proxy IRC en la máquina infectada, y abre una puerta trasera (backdoor), que permite a un atacante remoto tomar el control del equipo infectado.
No se propaga por si mismo, pero suele ser enviado en forma masiva a grupos de noticias, en mensajes con asuntos que intentan despertar la curiosidad del usuario, para que éste haga clic sobre un enlace que descarga al troyano, generalmente en un archivo con extensión .ZIP.
La infección ocurre si el usuario descarga y abre el contenido del .ZIP.
Cuando se ejecuta, crea el siguiente archivo:
c:\windows\system\svcxnv32.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
Luego ejecuta dicha copia, y permanece activo en memoria, finalizando el proceso del archivo original.
Para no ejecutarse mas de una vez al mismo tiempo, utiliza como semáforo el siguiente mutex:
svcxnv32.exe
Crea las siguientes entradas en el registro de Windows, para ejecutarse en cada inicio del sistema:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
IPConfig = [archivo del gusano]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
IPConfig = [archivo del gusano]
El troyano abre una puerta trasera, e intenta conectarse al un servidor IRC predeterminado, a través del puerto TCP/6667.
Un atacante remoto puede utilizar esta puerta para tomar el control del equipo infectado y realizar alguna de las siguientes acciones:
- Actualizarse a si mismo desde Internet
- Borrar archivos
- Descargar y ejecutar cualquier archivo
- Desconexión de Internet
- Finalizar cualquier proceso activo en memoria
- Iniciar o finalizar un canal IRC
- Listar todos los procesos activos
- Realizar un escaneo de puertos
- Robar información del sistema y del usuario (IP, etc.)
El troyano también podría ser enviado en forma premeditada o descargado de sitios no seguros, o desde redes P2P.
Más información:
http://www.vsantivirus.com/back-hackarmy-ap.htmAdware/MediaTickets. Modifica zonas de seguridadNombre: Adware/MediaTickets
Nombre Nod32: Win32/Adware.MediaTickets.downloader
Tipo: Parásito (Adware)
Alias: MediaTickets, Adware.CDT, Adware/MediaTickets, Adware-PurityScan, not-a-virus:AdvWare.MediaTickets.a, not-a-virus:AdvWare.MediaTickets.b, not-a-virus:AdvWare.MediaTickets.c, PMS/Drop.Wintsu, TR/Dldr.PurityS.E.2, TR/Dldr.PurScan.B.1, Trojan.Spy.MediaInstaller.A, TrojanDownloader.Win32.PurityScan.B, TrojanDownloader.Win32.PurityScan.E, Win32:PurityScan [Trj], Win32:PurityScan-C [Trj], Win32/Adware.MediaTickets.downloader
Plataforma: Windows 32-bit
Tamaño: variable
Se trata de un adware que despliega anuncios publicitarios y ventanas emergentes, modifica la configuración de seguridad de la zona de Sitios de confianza del Internet Explorer, e intenta instalar en forma fraudulenta los siguientes editores de confianza:
CDT inc.
MediaTickets
Integrated Search Technologies
Agrega los siguientes dominios a la zona de sitios de confianza del Internet Explorer:
blazefind.com
clickspring.net
flingstone.com
mt-download.com
my-internet.info
searchbarcash.com
searchmeup.cc
searchmiracle.com
skoobidoo.com
slotch.com
xxxtoolbar.com
También agrega la siguiente dirección IP a dicha zona:
69.31.87.223
Modifica el registro para permitir la descarga de contenido activo y la ejecución de scripts ActiveX, habilitando la secuencia de comandos ActiveX si ella estuviera desactivada.
También cambia el registro para permitir que el Internet Explorer ejecute componentes .NET, aunque los mismos no estén firmados por Authenticode.
Este parásito, puede descargar el siguiente archivo en la máquina del usuario:
mediatickets.exe
Más información:
http://www.vsantivirus.com/mediatickets.htmW32/Bacros.A. Borra archivos, infecta documentosNombre: W32/Bacros.A
Nombre Nod32: Win32/Bacros.A
Tipo: Virus
Alias: Bacros.A, W32/Bacros.A, Win32/Bacros.A, Win32.Bacros.a, W97M/Bacros.A
Plataforma: Windows 32-bit
Tamaño: 356,352 bytes
Se trata de un virus escrito en Borland Deplhi, que infecta archivos locales del sistema, renombrando todos los archivos de texto (.TXT) como .EXE.
Puede copiarse en disquetes y CD-Roms, y también libera y ejecuta un virus de macros de Word. Sin embargo, esto no funciona correctamente. A pesar de ello, ambos podrían replicarse en forma independiente.
Aunque no tiene capacidad de propagarse por si mismo a través de Internet, cualquier archivo previamente infectado, podría ser enviado en forma premeditada o por accidente, en un correo electrónico, o descargado desde un sitio web o desde redes P2P.
El virus sobrescribe los archivos de imágenes .GIF por otra que solo muestra un texto ofensivo: "KUOLE JEHOVA" ("Muere Jehová" en finlandés).
Si se ejecuta con un doble clic un archivo infectado, el virus se instala a si mismo en el sistema, creando las siguientes copias de si mismo:
c:\windows\system\msdosdrv.exe
c:\windows\system\mssys.exe
c:\windows\system\sys.exe
También muestra un archivo de texto con el nombre del binario infectado. Por ejemplo, si el archivo se llama README.EXE, intenta mostrar un archivo de texto llamado README.TXT. Si el archivo de texto no existe, entonces el virus visualiza un texto que solo contiene el nombre del archivo repetido muchas veces.
Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
MSDosdrv = "c:\windows\system\msdosdrv.exe -t"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MSSys = "c:\windows\system\mssys.exe -d"
El virus se comporta diferente si se ejecuta desde una línea de comandos, dependiendo del argumento que se utilice (como vemos en la modificación que hace en el registro, utiliza -d o -t).
Cuando se ejecuta con el argumento -t, el programa libera un documento de Word infectado con su componente de virus de macros, en la carpeta de documentos del usuario infectado, y en la carpeta del sistema de Windows:
\Mis Documentos\WordInfo.doc
\Windows\System\WordInfo.doc
También intenta desactivar la protección contra virus de macros de Office.
Cuando se ejecuta con el argumento -d, el programa examina la fecha del sistema. si el día del mes es 10, 20 o 30, el virus intenta abrir el documento infectado en la carpeta del sistema:
\Windows\System\WordInfo.doc
Este virus de macro, se replica durante la apertura y el cierre del documento. Reside en el macro del documento infectado, llamado "NewBacros", e infecta la plantilla NORMAL.DOT. También crea una copia de si mismo en la carpeta de plantillas de Word, con el nombre de NORMAL.DOC.
Si el día del mes es 6, muestra el siguiente texto:
I, Madman
Luego cambia el nombre del usuario de la aplicación por el de "ANCIENT".
El virus de macros intenta copiar el componente original del virus (el binario), desde C:\WINDOWS\SYSTEM\SYS.EXE, al raíz de cualquier disquete insertado en la unidad A: sin protección contra escritura, con el siguiente nombre:
A:\ReadMy.exe
Esta acción no funciona correctamente.
Si el día del mes es cualquier otro, intenta copiarse a la unidad de CD con el mismo nombre (READMY.EXE). También crea un archivo AUTORUN.INF en el CD-ROM, de manera de autoejecutarse en cualquier equipo que lea el CD con autoejecución. Solo se copia en el CD si detecta una unidad grabable y si el sistema está capacitado para grabar CDs y tiene alguna utilidad instalada para hacerlo.
Si el día del mes es 2, el virus examina todas las unidades de discos locales, y crea una copia de si mismo con el nombre de cada archivo con extensión .TXT encontrado, y oculta el archivo .TXT original. El icono con el cuál se muestra el virus en estas copias, es el mismo de los archivos .TXT.
Si es el primer día del mes, el virus examina todas las unidades de discos locales y reemplaza todos los archivos con extensión .GIF con una pequeña imagen que muestra el texto "Kuole Jehova".
Si la fecha es 6 de diciembre (día de la independencia en Finlandia), el virus coloca como fondo del escritorio una pequeña bandera finlandesa.
Si la fecha es 25 de diciembre, el virus borra todos los archivos de todas las unidades de disco duro locales.
Más información:
http://www.vsantivirus.com/bacros-a.htm
