Autor Tema: 16 de octubre, virus  (Leído 4700 veces)

Desconectado Danae

  • Administrator
  • *
  • Mensajes: 3210
  • Casi siempre en el armario.
    • windowsfacil,  primeros pasos con windows y el pc
16 de octubre, virus
« en: 16 de Octubre de 2004, 07:33:07 pm »
Adware/SearchAid. Modifica páginas de Inicio y búsqueda
Nombre: Adware/SearchAid
Nombre Nod32: Win32/Adware.SearchAid (varios)
Tipo: Parásito, Caballo de Troya (Adware)
Alias: SearchAid, AdvWare.WinShow.a, AdvWare.WinShow.b, Adware.Iefeats, Adware.MainSearch, Adware.NetOptimizer, Adware.Searchaid.A, Adware.Searchaid.C, Adware.Searchaid.E, Adware.Winshow, Adware/SearchAid, Adware/SearchHook, Adware/ShowSearch, Adware-SearchAid, Adware-Showsearch, Bck/Agent.J, Clicker.AC, Download.Adware, Download.Trojan, Downloader.Agent.2.AT, Downloader.Agent.2.AU, Downloader.Agent.2.E, Downloader.Agent.2.G, Downloader.Agent.2.H, Downloader.Agent.2.I, Downloader.Agent.2.J, Downloader.Agent.2.Q, Downloader.Agent.2.X, Downloader.Agent.2.Y, Downloader.Agent.2.Z, Downloader.Agent.BA, Downloader.Agent.BF, Downloader.Agent.BG, Downloader.Agent.BH, Downloader.Agent.BI, Downloader.Agent.BJ, Downloader.Agent.BK, Downloader.Agent.BM, Downloader.Agent.BN, Downloader.Agent.BO, Downloader.Agent.BQ, Downloader.Agent.BT, Downloader.Esepor.AA, Downloader.Petrolin.C, Downloader.Small.4.A, Downloader.Small.6.BJ, Downloader.Small.7.BE, Downloader.Small.7.BG, Downloader.Winshow.AA, Downloader.Winshow.AB, Downloader.Winshow.AC, Downloader.Winshow.AD, Downloader.Winshow.AE, Downloader.Winshow.AF, Downloader.Winshow.AG, Downloader.Winshow.AI, Downloader.Winshow.AK, Downloader.Winshow.AL, Downloader.Winshow.AO, Downloader.Winshow.AS, Downloader.Winshow.AT, Downloader.Winshow.N, Downloader.Winshow.P, Downloader.Winshow.Q, Downloader.Winshow.R, Downloader.Winshow.S, Downloader.Winshow.T, Downloader.Winshow.V, Downloader.Winshow.W, Downloader.Winshow.X, Downloader.Winshow.Y, Downloader.Winshow.Z, Downloader.Wintrim.2.H, Downloader.Wintrim.2.J, JS.Winshow.U, PMS/stroyIn, StartPage-CM, TR/Click.Exploide.L, TR/Dldr.Agent.AN, TR/Dldr.Agent.AN.1, TR/Dldr.Agent.AN.2, TR/Dldr.Agent.AN.3, TR/Dldr.Agent.AP, TR/Dldr.Agent.AP.1, TR/Dldr.Agent.AP.2, TR/Dldr.Agent.AP.3, TR/Dldr.Agent.Z, TR/Dldr.Agent.Z.1, TR/Dldr.Agent.Z.2, TR/Dldr.Agent.Z.4, TR/Dldr.WinSh.AC.03, TR/Dldr.WinSh.AC.07, TR/Dldr.WinSh.AC.09, TR/Dldr.WinSho.AF.3, TR/Dldr.WinSho.AF.4, TR/Dldr.WinShow.R.1, TR/Dldr.WinShow.R.2, TR/Dldr.WinShow.R.3, TR/Dldr.WinShw.AC.2, TR/Dldr.Wintrim.BE, TR/Esepor.r, TR/IstBar.AM.5, TR/IstBar.AM.6, TR/SPY.IcooLoader, TR/WinShow.n.Drp2, TR/WinShow.P.DLer, TR/WinShow.T, Trj/Clicker.K, Trj/Downloader.FG, Trj/Downloader.HV, Trj/Krepper.A, Trj/StartPage.IO, Troj/CWS-B, Troj/Dloader-AB, Troj/Dloader-AC, Troj/Dloader-AE, Troj/Dloader-AQ, Troj/Iefeat-A, Troj/Iefeat-H, Troj/Iefeat-I, TROJ_AGENT.AE, TROJ_AGENT.AR, TROJ_AGENT.AS, TROJ_AGENT.BQ, TROJ_AGENT.PA, TROJ_AGENT.RM, TROJ_AGENT.Z2, TROJ_AGENT.Z3, TROJ_EMT.A, TROJ_ESEPOR.R, TROJ_ICOOL.A, TROJ_IEFEATS.A, TROJ_POUTER.A, TROJ_STRTPAGE.RN, TROJ_WINSHOW.AG, TROJ_WINSHOW.G, TROJ_WINSHOW.U, TROJ_WINSHOW.W, TROJ_WINSHOW.Y, Trojan.Agent.Z, Trojan.Azat, Trojan.Clicker.Exploider.L, Trojan.Clk.Exploider.C, Trojan.DL.Agent.AY, Trojan.DL.Agent.AZ, Trojan.DL.Agent.BA, Trojan.DL.Agent.BB, Trojan.DL.Agent.BD, Trojan.DL.Agent.BG1, Trojan.DL.Agent.BH, Trojan.DL.Agent.BP, Trojan.DL.Agent.BQ, Trojan.DL.Agent.BR, Trojan.DL.Agent.CC, Trojan.DL.Agent.CD, Trojan.DL.Agent.CE, Trojan.DL.Small.JT1, Trojan.DL.Winshow.I, Trojan.DL.WinShow.K, Trojan.DL.WinShow.L, Trojan.DL.WinShow.M, Trojan.DL.WinShow.N, Trojan.DL.WinShow.O, Trojan.DL.WinShow.P, Trojan.Download.Feat, Trojan.DownLoader.20480, Trojan.DownLoader.235, Trojan.DownLoader.374, Trojan.DownLoader.468, Trojan.DownLoader.500, Trojan.Downloader.Agent.AN, Trojan.Downloader.Agent.AP, Trojan.Downloader.Agent.Ap, Trojan.Downloader.Agent.AQ, Trojan.Downloader.Agent.Aw, Trojan.Downloader.Agent.Z, Trojan.Downloader.Feat, Trojan.Downloader.Feats, Trojan.Downloader.Geami, Trojan.Downloader.HQFeat.A, Trojan.Downloader.IeFear.A, Trojan.Downloader.Small.LB, Trojan.Downloader.Winjj.A, Trojan.Downloader.WinShow.AC, Trojan.Downloader.WinShow.AF, Trojan.Downloader.WinShow.B, Trojan.Downloader.WinShow.N, Trojan.Downloader.Winshow.Shp, Trojan.Downloader.Wintrim.BE, Trojan.Esepor.R, Trojan.Feat, Trojan.Feat.2, Trojan.Feats, Trojan.IeFear, Trojan.StartPage.171, Trojan.Startpage.Conf.D, Trojan.Startpage.Iesh, Trojan.Startpage.Inlr, Trojan.Startpage.Q25, Trojan.Startpage.Shp, Trojan.Trojandownloader.Agent.Al, Trojan.Trojandownloader.Agent.Ap, Trojan.Trojandownloader.Agent.Z, Trojan.Trojandownloader.Small.Dq, Trojan.Trojandownloader.Small.Lb, Trojan.Trojandownloader.Small.Lb, Trojan.Trojandownloader.Winshow.Ac, Trojan.Trojandownloader.Winshow.Ae, Trojan.Trojandownloader.Winshow.Af, Trojan.Trojandownloader.Winshow.O, Trojan.Trojandownloader.Winshow.P, Trojan.Trojandownloader.Winshow.R, Trojan.Trojandownloader.Winshow.T, Trojan.Trojandownloader.Winshow.U, Trojan.Trojandownloader.Winshow.Y, Trojan.Trojandownloader.Winshow.Z, Trojan.Trojandownloader.Wintrim.Be, Trojan.Vax, Trojan.Win32.Small.ae, Trojan.Winshow, Trojan.Wintrim, Trojan:Win32/IeFear, TrojanClicker.Win32.Exploider.l, TrojanDownloader.Esepor, TrojanDownloader.Schaid, TrojanDownloader.Win32.Agent.al, TrojanDownloader.Win32.Agent.an, TrojanDownloader.Win32.Agent.AN, TrojanDownloader.Win32.Agent.ap, TrojanDownloader.Win32.Agent.AP, TrojanDownloader.Win32.Agent.aq, TrojanDownloader.Win32.Agent.AQ, TrojanDownloader.Win32.Agent.aw, TrojanDownloader.Win32.Agent.bc, TrojanDownloader.Win32.Agent.BC, TrojanDownloader.Win32.Agent.z, TrojanDownloader.Win32.Agent.Z, TrojanDownloader.Win32.Esepor.r, TrojanDownloader.Win32.Petrolin.a, TrojanDownloader.Win32.Small.dq, TrojanDownloader.Win32.Small.lb, TrojanDownloader.Win32.Small.LB, TrojanDownloader.Win32.WinShow, TrojanDownloader.Win32.WinShow.ab, TrojanDownloader.Win32.WinShow.ac, TrojanDownloader.Win32.WinShow.ae, TrojanDownloader.Win32.WinShow.af, TrojanDownloader.Win32.WinShow.ag, TrojanDownloader.Win32.WinShow.ah, TrojanDownloader.Win32.WinShow.ai, TrojanDownloader.Win32.WinShow.n, TrojanDownloader.Win32.WinShow.o, TrojanDownloader.Win32.WinShow.p, TrojanDownloader.Win32.WinShow.q, TrojanDownloader.Win32.WinShow.r, TrojanDownloader.Win32.WinShow.t, TrojanDownloader.Win32.WinShow.T, TrojanDownloader.Win32.Winshow.u, TrojanDownloader.Win32.WinShow.U, TrojanDownloader.Win32.Winshow.v, TrojanDownloader.Win32.WinShow.w, TrojanDownloader.Win32.WinShow.W, TrojanDownloader.Win32.WinShow.x, TrojanDownloader.Win32.WinShow.y, TrojanDownloader.Win32.WinShow.Y, TrojanDownloader.Win32.WinShow.z, TrojanDownloader.Win32.Wintrim.be, TrojanDownloader.Win32.Wintrim.BE, TrojanDownloader.Winshow, TrojanDownloader:Win32/Agent.AL, TrojanDownloader:Win32/Agent.AN, TrojanDownloader:Win32/Agent.AP, TrojanDownloader:Win32/Agent.AQ, TrojanDownloader:Win32/Agent.BC, TrojanDownloader:Win32/Agent.Z, TrojanDownloader:Win32/Esepor.R, TrojanDownloader:Win32/IeFear, TrojanDownloader:Win32/Petrolin.A, TrojanDownloader:Win32/Small.LB, TrojanDownloader:Win32/WinShow, TrojanDownloader:Win32/WinShow.AC, TrojanDownloader:Win32/WinShow.AG, TrojanDownloader:Win32/WinShow.F, TrojanDownloader:Win32/WinShow.G, TrojanDownloader:Win32/WinShow.N, TrojanDownloader:Win32/Winshow.P, TrojanDownloader:Win32/WinShow.Q, TrojanDownloader:Win32/WinShow.R, TrojanDownloader:Win32/Winshow.U, TrojanDownloader:Win32/WinShow.U1, TrojanDownloader:Win32/WinShow.V, TrojanDownloader:Win32/WinShow.X, TrojanDownloader:Win32/WinShow.Z, W32/Agent.G, W32/Agent.K@dl, W32/Agent.L@dl, W32/Agent.P@dl, W32/Agent.R@dl, W32/Agent.U@dl, W32/Agent.V@dl, W32/Agent.W@dl, W32/DLoader.AM, W32/DLoader.AN, W32/DLoader.AV, W32/DLoader.BA, W32/DLoader.BC, W32/SearchAid, W32/Sillydl.EK, W32/Sillydl.EQ, W32/Winshow.K, W32/Winshow.L, Win32/Adware.SearchAid.C, Win32/Adware.SearchAid.D, Win32.Shinwow!downloader, Win32.Winshow, Win32.Winshow!downloader, Win32.Winshow.B, Win32.Winshow.C, Win32.Winshow.D, Win32.Winshow.E, Win32.Winshow.F, Win32.Winshow.G, Win32.Winshow.H, Win32.Winshow.I, Win32.Winshow.J, Win32.Winshow.K, Win32.Winshow.L, Win32.Winshow.M, Win32.Winshow.N, Win32.Winshow.O, Win32.Winshow.Q, Win32.Winshow.R, Win32.Winshow.T, Win32/Shinvow.Downloader.Trojan, Win32/StartPage.IH, Win32/TrojanDownloader.Agent.AL1, Win32/TrojanDownloader.Agent.AN, Win32/TrojanDownloader.Agent.AN1, Win32/TrojanDownloader.Agent.AN2, Win32/TrojanDownloader.Agent.AN4, Win32/TrojanDownloader.Agent.AN5, Win32/TrojanDownloader.Agent.AP, Win32/TrojanDownloader.Agent.AP1, Win32/TrojanDownloader.Agent.AP2, Win32/TrojanDownloader.Agent.BC, Win32/TrojanDownloader.Agent.NAC, Win32/TrojanDownloader.Agent.NAE, Win32/TrojanDownloader.Agent.NAH, Win32/TrojanDownloader.Agent.NAI, Win32/TrojanDownloader.Agent.NAJ, Win32/TrojanDownloader.Esepor.R, Win32/TrojanDownloader.WinShow.AC, Win32/TrojanDownloader.WinShow.NAA, Win32/TrojanDownloader.WinShow.NAB, Win32/TrojanDownloader.WinShow.NAD, Win32/TrojanDownloader.WinShow.NAE, Win32/TrojanDownloader.WinShow.NAG, Win32/TrojanDownloader.WinShow.P, Win32/TrojanDownloader.WinShow.Q, Win32/TrojanDownloader.WinShow.R, Win32/TrojanDownloader.WinShow.T, Win32/TrojanDownloader.WinShow.U, Win32/TrojanDownloader.WinShow.U1, Win32/TrojanDownloader.WinShow.W, Win32/TrojanDownloader.WinShow.X, Win32/WinShow.6656.Trojan, Win32/WinShow.B.Trojan, Win32/WinShow.C.DLL.Trojan, Win32/WinShow.DLL.Trojan, Win32/Winshow.F.Trojan, Win32/Winshow.G.Trojan, Win32/Winshow.I.DLL.Trojan, Win32/Winshow.L.Trojan, Win32/WinShow.M.Trojan, Win32/WinShow.N.Trojan, Win32/WinShow.Trojan, Win32/WinTrim.BE.DLL.Trojan, Win32:IEfeat-adware [Trj], Win32:ISTbar-H [Trj], Win32:Trojan-gen. {Other}, Win32:Trojan-gen. {UPX!}, Win32:Trojano-165 [Trj], Win32:Trojano-173 [Trj], Win32:Trojano-180 [Trj], Win32:Trojano-181 [Trj], Win32:Trojano-193 [Trj]
Fecha: 14/oct/04
Plataforma: Windows 32-bit
Tamaño: variable
Se trata de una familia de troyanos que modifican la página de inicio del navegador y su configuración de búsqueda, a los efectos de controlar la descarga de publicidad. Los cambios realizados en el sistema, comprometen el rendimiento general de la navegación.
Se integra al Internet Explorer como un objeto del tipo BHO (Browser Helper Object), de modo que sus comunicaciones con el sitio que lo crea, no son interceptadas por el cortafuegos al ejecutarse como parte del propio navegador (un objeto BHO es un DLL que se adjunta a si mismo a cada nueva instancia del Internet Explorer, pudiendo ejecutar eventos predeterminados).
Se instala manualmente, o en forma clandestina como un componente de otro programa.
Existen una gran cantidad de variantes, cada una con diferentes archivos. Todas las variantes requieren un ejecutable y un DLL para realizar sus funciones.
El ejecutable principal, que es descargado de Internet, se ejecuta una sola vez, y descarga sus otros componentes desde diferentes sitios web, por ejemplo:
http:/ /www .75tz .com
http:/ /www .iefeadsl .com
http:/ /www .v61 .com
Cuando se ejecuta, modifica la página de inicio del Internet Explorer para que cargue siempre una página de publicidad predeterminada.

Cambia la configuración de las opciones de búsqueda, de modo que cualquier petición hecha por el usuario, sea redirigida a un servidor preestablecido.
Es posible que quitando este troyano, el programa asociado deje de funcionar.
El archivo principal descarga y ejecuta otros archivos, que son descargados de diferentes sitios de Internet durante el proceso de instalación, y copiados en la carpeta System (o System32). Cada variante puede descargar de 2 a 5 componentes. Esta es una lista de algunos de ellos:
[nombre al azar].dll
dict.dat
dl.dat
f2install.exe
feat2.dll
image.dll
keywords.dat
mshp.dll
msiesh.dll
msiesh.new
msits.exe
msopt.dll
mssearch.dll
service.exe
submit2.exe
submithook.dll
sysda32.dll
sysda32.new
uninstall.exe
uninstall.ini
update.txt
El [nombre al azar], es generado con la combinación de las siguientes cadenas más 2 o 3 letras al azar:
32
add
api
app
atl
cr
d3
ie
ip
java
mfc
ms
net
nt
sys
win
Por ejemplo: MSIESH.DLL, ADD32EF.DLL
El troyano usualmente no requiere la presencia del ejecutable original una vez que se ha instalado en el sistema.
Según la versión, el troyano puede crear todas o algunas de las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
Image = rundll32 [nombre del DLL],Install
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Image = rundll32 [nombre del DLL],Install
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Image = rundll32 [nombre del DLL],Install
delsubmit = [ejecutable del troyano]
También crea las siguientes entradas para modificar la página de inicio y la configuración de búsqueda, además de otros datos para ejecutarse automáticamente (tenga en cuenta que no todas las versiones modifican o crean todas estas opciones):
HCU\Software\Microsoft\Windows\CurrentVersion\Explorer
\{????????-????-????-????-????????????}
HKCR\CLSID\{????????-????-????-????-????????????}
(Predeterminado) = "ViewSource Class"
HKCR\Image.Image
HKCR\Image.Image.1
HKCU\Software\Microsoft\Internet Explorer\Main
Search Page = [sitio de Internet o archivo]
Start Page = [sitio de Internet o archivo]
Use Search Asst = no
HKCU\Software\Microsoft\Internet Explorer\Search
SearchAssistant= [sitio de Internet]
HKCU\SOFTWARE\WinShow\
HKLM\SOFTWARE\Classes\CLSID\
{????????-????-????-????-????????????}
HKLM\SOFTWARE\Classes\Image.Image
HKLM\SOFTWARE\Classes\Image.Image.1
HKLM\Software\Microsoft\Internet Explorer\Main
Search Page= [sitio de Internet o archivo]
HKLM\Software\Microsoft\Internet Explorer\Search
Default_Search_URL= [sitio de Internet o archivo]
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Browser Helper Objects
\{????????-????-????-????-????????????}

Luego de ejecutarse, puede descargar actualizaciones de si mismo desde diferentes direcciones IP.
Algunas de las acciones posibles:
- Reemplaza los banners publicitarios que muestran los sitios visitados, por otros de su creador.
- Monitorea toda actividad del usuario en Internet.
- Cambia la página de inicio del navegador.
- Descarga otros archivos en la computadora infectada, sin el conocimiento del usuario.
Más información: http://www.vsantivirus.com/searchaid.htm

W32/Forbot.BI. Se copia como "systemproc.exe"
Nombre: W32/Forbot.BI
Tipo: Gusano y Caballo de Troya de acceso remoto
Alias: Forbot.BI, W32/Forbot-BI, WORM_WOOTBOT.AQ, W32/Gaobot.worm.gen.e
Plataforma: Windows 32-bit
Tamaño: variable
Puertos: TCP 6030 y 6667
Este troyano con características de gusano, puede ser configurado para permitir el acceso a un atacante a la máquina infectada, utilizando canales de IRC (Internet Relay Chat).
Cuando se ejecuta, se instala en el directorio System con el siguiente nombre:
c:\windows\system\systemproc.exe
Modifica algunas de las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
Microsoftkeysd = systemproc.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Microsoftkeysd = systemproc.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Microsoftkeysd = systemproc.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
Microsoftkeysd = systemproc.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Microsoftkeysd = systemproc.exe
HKLM\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_MICROSOFTKEYSD
El troyano permite a un atacante remoto, el control del equipo infectado mediante BOTS vía IRC (un bot es un programa que actúa como un usuario de IRC, y está preparado para responder o actuar automáticamente ejecutando ciertos comandos).

Algunas de las acciones posibles:
- Realizar ataques de denegación de servicio (DoS) mediante envío masivo de paquetes ping, syn, udp (flooding).
- Ejecutar un servidor socks4
- Reenvío de puertos
- Acceso a la libreta de direcciones de Windows
- Eliminar recursos compartidos, incluidos IPC$ y ADMIN$
- Escaneo de puertos
- Obtención de claves (CD Keys) de populares juegos
- Descarga y ejecución de archivos vía HTTP o por conexión directa
- Obtención de información de la computadora infectada (clave de registro de Windows, velocidad del procesador, memoria, usuarios, etc.)
- Agregar o quitar servicios del sistema
- Finalizar sesión, reiniciar o apagar el sistema
- Obtener nombres de usuarios de Yahoo Pager, .NET messenger y AOL Instant Messenger
- Iniciar o detener un servidor HTTP en cualquier puerto especificado, habilitando el acceso a determinados directorios del sistema al usuario remoto.
- Iniciar o detener un servidor FTP que permite examinar archivos del sistema, y cargar o descargar archivos.
- Finalizar procesos, incluyendo aquellos de conocidos antivirus y cortafuegos, además de herramientas del propio Windows, como los siguientes (ver lista en el link)
El troyano abre los siguientes puertos: TCP/6030 y TCP/6667
Más información: http://www.vsantivirus.com/forbot-bi.htm

W32/Forbot.BJ. Se copia como "windowsupdate.exe"

Nombre: W32/Forbot.BJ
Tipo: Gusano y Caballo de Troya de acceso remoto
Alias: Forbot.BJ, W32/Forbot-BJ, WORM_WOOTBOT.AI, Backdoor.Win32.ForBot.o, BackDoor-CIW
Plataforma: Windows 32-bit
Tamaño: variable
Puertos: TCP 6030 y 6667
Este troyano con características de gusano, puede ser configurado para permitir el acceso a un atacante a la máquina infectada, utilizando canales de IRC (Internet Relay Chat).
Cuando se ejecuta, se instala en el directorio System con el siguiente nombre:
c:\windows\system\windowsupdate.exe
Modifica algunas de las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
MSPatch = windowsupdate.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MSPatch = windowsupdate.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
MSPatch = windowsupdate.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
MSPatch = windowsupdate.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
MSPatch = windowsupdate.exe
HKLM\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_MSPATCH
El troyano permite a un atacante remoto, el control del equipo infectado mediante BOTS vía IRC (un bot es un programa que actúa como un usuario de IRC, y está preparado para responder o actuar automáticamente ejecutando ciertos comandos).

Algunas de las acciones posibles:
- Realizar ataques de denegación de servicio (DoS) mediante envío masivo de paquetes ping, syn, udp (flooding).
- Ejecutar un servidor socks4
- Reenvío de puertos
- Acceso a la libreta de direcciones de Windows
- Eliminar recursos compartidos, incluidos IPC$ y ADMIN$
- Escaneo de puertos
- Obtención de claves (CD Keys) de populares juegos
- Descarga y ejecución de archivos vía HTTP o por conexión directa
- Obtención de información de la computadora infectada (clave de registro de Windows, velocidad del procesador, memoria, usuarios, etc.)
- Agregar o quitar servicios del sistema
- Finalizar sesión, reiniciar o apagar el sistema
- Obtener nombres de usuarios de Yahoo Pager, .NET messenger y AOL Instant Messenger
- Iniciar o detener un servidor HTTP en cualquier puerto especificado, habilitando el acceso a determinados directorios del sistema al usuario remoto.
- Iniciar o detener un servidor FTP que permite examinar archivos del sistema, y cargar o descargar archivos.
- Finalizar procesos, incluyendo aquellos de conocidos antivirus y cortafuegos, además de herramientas del propio Windows, como los siguientes (ver lista en el link)
El troyano abre los siguientes puertos: TCP/6030 y TCP/6667
Más información: http://www.vsantivirus.com/forbot-bj.htm

W32/Forbot.NBK. Se copia como "mvsecn.exe"
Nombre: W32/Forbot.NBK
Nombre Nod32: Win32/Wootbot.NBK
Tipo: Gusano y Caballo de Troya de acceso remoto
Alias: Forbot.BK, Win32/Wootbot.NBK, W32/Forbot-BK, WORM_WOOTBOT.GEN, Backdoor.Win32.Wootbot.gen
Plataforma: Windows 32-bit
Tamaño: variable
Puertos: TCP 6030 y 6667
Este troyano con características de gusano, puede ser configurado para permitir el acceso a un atacante a la máquina infectada, utilizando canales de IRC (Internet Relay Chat).
Cuando se ejecuta, se instala en el directorio System con el siguiente nombre:
c:\windows\system\mvsecn.exe
Modifica algunas de las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
Win32 USB Driver = mvsecn.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Win32 USB Driver = mvsecn.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Win32 USB Driver = mvsecn.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
Win32 USB Driver = mvsecn.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Win32 USB Driver = mvsecn.exe
HKLM\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_BLARGH
El troyano permite a un atacante remoto, el control del equipo infectado mediante BOTS vía IRC (un bot es un programa que actúa como un usuario de IRC, y está preparado para responder o actuar automáticamente ejecutando ciertos comandos).
Algunas de las acciones posibles:
- Realizar ataques de denegación de servicio (DoS) mediante envío masivo de paquetes ping, syn, udp (flooding).
- Ejecutar un servidor socks4
- Reenvío de puertos
- Acceso a la libreta de direcciones de Windows
- Eliminar recursos compartidos, incluidos IPC$ y ADMIN$
- Escaneo de puertos
- Obtención de claves (CD Keys) de populares juegos
- Descarga y ejecución de archivos vía HTTP o por conexión directa
- Obtención de información de la computadora infectada (clave de registro de Windows, velocidad del procesador, memoria, usuarios, etc.)
- Agregar o quitar servicios del sistema
- Finalizar sesión, reiniciar o apagar el sistema
- Obtener nombres de usuarios de Yahoo Pager, .NET messenger y AOL Instant Messenger
- Iniciar o detener un servidor HTTP en cualquier puerto especificado, habilitando el acceso a determinados directorios del sistema al usuario remoto.
- Iniciar o detener un servidor FTP que permite examinar archivos del sistema, y cargar o descargar archivos.
- Finalizar procesos, incluyendo aquellos de conocidos antivirus y cortafuegos, además de herramientas del propio Windows, como los siguientes (ver lista en el link)
El troyano abre los siguientes puertos: TCP/6030 y TCP/6667
Más información: http://www.vsantivirus.com/forbot-nbk.htm

W32/Flooder.VB.AB. Se disfraza de carpetaNombre: W32/Flooder.VB.AB
Nombre Nod32: Win32/Flooder.MailSpam.VB.AB
Tipo: Gusano de Internet
Alias: Win32:Trojan-gen. {VB}, TR/Flood.VB.f, Flooder.MailSpam.VB.f, Trojan.Flooder.MailSpam.VB.F, FDOS.Liammap, Generic FDoS.b, Trojan.Malware.Flooder, Hacktool, Flooder/Liammap.A, Flooder:MailSpam.VB.F, Troj/VB-F, W32/Traxg-B, WORM_VB.F
 Plataforma: Windows 32-bit
Tamaño: 57,344 bytes
Gusano que se propaga por correo electrónico. Su ejecutable se muestra con un icono similar al de las carpetas de Windows, lo que hace más fácil que un usuario haga doble clic sobre él, al intentar ver su contenido.
Al ejecutarse, crea varias copias de si mismo, en numerosas ubicaciones, y con nombres generados al azar.
Modifica las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
TempCom = [Nombre del archivo]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
TempCom = C:\Windows\Fonts\[Nombre aleatorio].com
El gusano también modifica las siguientes entradas del registro, para ocultar su presencia en el sistema:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced
Hidden = 0
HideFileExt = 1
Hidden = dword:00000000
SuperHidden = dword:00000001
HideFileExt = dword:00000001
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\CabinetState
FullPath = dword:00000001
Crea también el siguiente archivo:
c:\folder.htt
El gusano se envía a direcciones de correo obtenidas de la máquina infectada, utilizando el Microsoft Outlook y Outlook Express.
Más información: http://www.vsantivirus.com/flooder-vb-ab.htm

El Darby se propaga por MSN Messenger, AIM, Yahoo e ICQAlgunos usuarios nos han estado reportando en las últimas horas, la aparición de extraños mensajes recibidos mientras utilizan programas de mensajería instantánea, como MSN Messenger, AOL Instant Messenger, Yahoo Messenger o ICQ.
Estos mensajes piden al usuario que visite un sitio o enlace determinado. Los siguientes son algunos ejemplos de los mismos:
Mira esta foto [dirección] capaz te interese
Mira esta pagina [dirección] capaz te interese
Mira esta web [dirección] capaz te interese
Sin embargo, no se trata de un nuevo gusano, sino del Darby.M (y sus variantes posteriores), que poseen la capacidad de propagarse a través de mensajes enviados desde sitios infectados en forma de spam, o a través de las aplicaciones de mensajería instantánea mencionadas antes.
Si el usuario hace clic en el enlace ofrecido, corre el riesgo de descargar un troyano de IRC, que es grabado como GEDBOT.EXE (o SVHOST.EXE), en la carpeta de Windows y luego ejecutado.
El sitio indicado en el mensaje, puede ser alguno de los siguientes:
http:/ /hosting .mixcat .com/interserv7
http:/ /interserv1 .thefreebizhost .com
http:/ /interserv10 .i-networx .de
http:/ /interserv5 .thefreebizhost .com
http:/ /interserv6 .mysitespace .com
http:/ /interserv9 .t35 .com
http:/ /n .1asphost .com/interserv8
http:/ /www .iespana .es/interserv4
Los usuarios deben tener en cuenta que JAMAS se debe hacer clic sobre enlaces recibidos en mensajes que no hayan sido solicitados, sin importar su remitente. Esto incluye no solo el correo electrónico, sino también las aplicaciones de mensajería instantánea, programas de chat, etc.
Darby.M (detectado como Darby.G por algunos antivirus), fue detectado por primera vez el 5 de octubre de 2004. Las variantes N, O, NAA y P, con ligeras modificaciones para intentar eludir la detección de algunos antivirus, fueron reportadas todas durante la semana siguiente a dicha fecha.

Más información sobre el gusano Darby:
W32/Darby.M. Gusano con mensajes en español
http://www.vsantivirus.com/darby-m.htm
W32/Darby.N. Gusano con mensajes en español
http://www.vsantivirus.com/darby-n.htm
W32/Darby.O. Gusano con mensajes en español
http://www.vsantivirus.com/darby-o.htm
W32/Darby.NAA. Gusano con mensajes en español
http://www.vsantivirus.com/darby-naa.htm
W32/Darby.P. Gusano con mensajes en español
http://www.vsantivirus.com/darby-p.htm
Publicado en: http://www.vsantivirus.com/16-10-04.htm

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 15865
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
16 de octubre, virus
« Respuesta #1 en: 16 de Octubre de 2004, 09:02:38 pm »
Gracias Danae...   Vaya cantidad de alias el Adware/SearchAid.   :?  :?

Un saludo

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License