W32/Mydoom.AE. Descarga y ejecuta archivos .JPGNombre: W32/Mydoom.AE
Nombre Nod32: Win32/Mydoom.AE
Tipo: Gusano de Internet y caballo de Troya
Alias: Mydoom.AE, Win32/Mydoom.AC, Win32/Mydoom.AE, MyDoom.AE, I-Worm.Mydoom.AA
Plataforma: Windows 32-bit
(Esta es una descripción preliminar, parcialmente incompleta, publicada como alerta. Los detalles completos serán incorporados a nuestro sitio a la brevedad posible, en el enlace mencionado)Variante del Mydoom detectada el 16 de octubre de 2004.
Se propaga por correo electrónico. Los remitentes de los mensajes son falsos.
Intenta descargar de Internet los siguientes archivos:
botnet.jpg
scran.jpg
Ambos archivos son detectados como un caballo de Troya de acceso remoto (botnet.jpg) y un gusano de P2P (scran.jpg).
El gusano también se propaga por redes P2P como KaZaa, copiándose en la carpeta compartida con diferentes nombres.
Para propagarse por ICQ, utiliza un mensaje con un enlace para descargar el gusano.
El gusano evita enviar mensajes a cualquier dirección que en su nombre contenga algunas de las siguientes cadenas (ver lista en el link)
Las direcciones para el envío de los mensajes infectados, son tomadas de archivos seleccionados de diferentes carpetas de las unidades de discos de la C a la Z. Los archivos examinados, poseen las siguientes extensiones:
.asp
.cfg
.cgi
.dbx
.dht
.eml
.htm
.jsp
.mbx
.mht
.msg
.php
.sht
.stm
.tbb
.txt
.uin
.wab
.xls
También genera direcciones al azar, usando nombres de dominio obtenidos de direcciones válidas.
El gusano intenta detener los siguientes servicios (ver lista en el link)
Incluye el siguiente mensaje oculto en su código:
Lucky's Av's ;P~. Sasser author gets IT security job and we will work with Mydoom , P2P worms and exploit codes .Also we will attack f-secure, symantec, trendmicro, mcafee , etc. The 11th of march is the skynet day lol . When the beagle and mydoom loose, we wanna stop our activity <== so Where is the Skynet now? lol.
Más información:
http://www.vsantivirus.com/mydoom-aa.htmW32/Opasoft.V. Se propaga por NetBIOS como "srv32.exe"Nombre: W32/Opasoft.V
Nombre Nod32: Win32/Opaserv.V
Tipo: Gusano de Internet Caballo de Troya de acceso remoto
Alias: Opaserv.V, Exploit-DcomRpc.gen, I-Worm/Opas.V, Opaserv.V, Trojan.Srv32, W32.Opaserv.G.Worm, W32/Opaserv.Gen, W32/Opaserv.worm.V, W32/Opaserv.worm.v, W32/Opaserv-U, W32/Opaserv-Y, Win32.Opaserv.Y, Win32.Opasoft, Win32.Worm.Opaserv.Q, Win32/Opaserv.V, Win32/Opaserv.V.worm, Win32/Opaserv.v.Worm, Win32:Opas-N [Wrm], Worm.Opaserv.X, Worm.Win32.Opasoft.i, Worm.Win32.Opasoft.s, Worm/Opasoft.I, WORM_OPASERV.S
Plataforma: Windows 32-bit
Tamaño: varios
Existen muchas variantes del Opasoft (u Opaserv), esta es la identificada como "G", "V", "U", "Y", "Q", "X", "I" o "S" por algunos fabricantes de antivirus.
Se propaga a través de los recursos compartidos en una red local y a través de Internet, utilizando la vulnerabilidad "Share Level Password".
Utiliza para ello el puerto 139 (Netbios, NETBeui). Si su computadora tiene activa la opción "Compartir impresoras y archivos para redes Microsoft", podría ser accedida a través de Internet, y por lo tanto ser infectada con este gusano. Netbios utiliza además el puerto 137 para la búsqueda del "nombre de Windows" correspondientes a los recursos compartidos.
Para estas acciones, el gusano hace uso del protocolo de comunicación llamado SMB (Server Message Block Protocol), el cuál es empleado por los sistemas operativos basados en MS-Windows para acceder a los recursos compartidos de una red, a través del puerto 139 (NetBeui en sistemas Microsoft Windows).
La vulnerabilidad mencionada, está relacionada con la forma en que Windows (95, 98, 98 SE y Me) verifica las contraseñas en una red compartida, de modo que puede llegar a aceptar un solo carácter (letra o número), sin importar lo larga que sea la contraseña.
La corrección para esta falla en esos sistemas operativos, está disponible desde octubre de 2000 (
www.microsoft.com/technet/security/bulletin/MS00-072.mspx).
Cuando se ejecuta, el gusano crea los siguientes archivos:
c:\windows\srv32.exe
c:\windows\hlb
c:\windows\hstlst
c:\windows\sccss
c:\windows\srv32res
c:\windows\srv32tsk
c:\scrsin.dat
c:\scrsout.dat
c:\tmp.ini
El primero es una copia del gusano. Los demás son textos encriptados, que contienen una lista de las máquinas escaneadas e infectadas y otra clase de registros internos, o son archivos temporales (no todos ellos pueden estar presentes).
También intenta descargar y ejecutar el siguiente archivo de un sitio determinado de Internet:
c:\windows\new.exe
El gusano también crea o modifica la siguiente entrada del registro para ejecutarse en próximos reinicios:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Srv32 = c:\windows\srv32.exe
Para propagarse a través de unidades de red y recursos compartidos, el gusano busca direcciones IP con el puerto 137 abierto (protocolo NetBIOS).
Si obtiene respuesta, se trasmite por el puerto 139, copiándose en el directorio raíz y en el de WINDOWS de la víctima seleccionada, con el nombre de srv32.exe.
Primero, establece una conexión con el recurso \\hostname\C si la computadora remota le responde. Si el recurso está protegido con contraseña, prueba todas las posibilidades en las que la contraseña sea un sólo carácter (A, B, C, etc.). Si la contraseña tiene más de un carácter, prueba varias combinaciones en un ataque "de fuerza bruta", aprovechando la vulnerabilidad mencionada al comienzo.
La búsqueda de direcciones IP sigue un orden. Primero, busca en la subred del equipo actual. Después, las dos subredes más próximas. Finalmente, escoge direcciones IP al azar.
Crea un "mutex" (un semáforo) para saber si ya se está ejecutando en memoria, y no volver a hacerlo.
También modifica el archivo WINDOWS\WIN.INI para autoejecutarse al iniciarse Windows en las máquinas remotas:
[windows]
run = c:\windows\srv32.exe
Más información:
http://www.vsantivirus.com/opasoft-v.htm__________________________________________________
Un poquito de publicidad, nunca viene mal :wink:
__________________________________________________
NOD32: Primero en detectar última versión del NetskyAunque gracias a su heurística avanzada, NOD32 fue capaz de detectar la última versión del virus Netsky en el mismo momento que éste comenzó a reproducirse, también fue el primero en liberar una actualización para su detección completa.
Las versiones del virus Netsky han sido las de mayor propagación del año, como se puede ver en estadísticas sobre virus de compañías antivirus y de centros de información sobre seguridad.
Junto al Bagle, el gusano Netsky ha sido uno de los que más versiones ha tenido, siendo entonces importante que los antivirus brinden una respuesta rápida para su detección.
NOD32, producto antivirus de la empresa Eset, líder en el desarrollo y comercialización de soluciones de seguridad, ha sido capaz de detectar la mayoría de las versiones del Netsky sin necesidad de actualizarse gracias a su tecnología heurística de avanzada.
Ante la aparición de una nueva versión del virus Netsky (catalogada como Win32/Netsky.B1), NOD32 fue uno de los pocos antivirus capaz de detectarlo automáticamente sin necesidad de actualizarse. Gracias a esto, los usuarios de NOD32 estuvieron protegidos desde el mismo instante en que el gusano hizo su aparición.
Además, fue el primer antivirus en actualizarse para detectar al Netsky.B1 con su lista de firmas. La actualización se realiza apenas horas después que el gusano comenzó a ser reportado, e incluso casi 20 horas antes que el resto de los antivirus, protegiendo rápidamente a sus usuarios contra esta amenaza.
Toda esta información fue publicada ayer por la organización independiente Hispasec, dedicada a la información y soluciones de seguridad informática. A través de su servicio VirusTotal, Hispasec provee estadísticas detalladas sobre la aparición de nuevos virus y los tiempos en que los antivirus tardan en actualizarse para detectarlos.
En el boletín Nro. 2182 (14/10/2004) de Hispasec, una de las fuentes más confiables en lo que información sobre virus se refiere, se puede observar el listado completo de los antivirus que detectaron esta versión del Netsky sin actualizarse y los tiempos en que tardaron en actualizarse.
Este comportamiento de NOD32 no es ninguna novedad, dado que su heurística avanzada es reconocida ampliamente entre la comunidad antivirus, y ha sido capaz de reconocer automáticamente la gran mayoría de los últimos gusanos de Internet que han aparecido y se han propagado rápidamente por Internet.
Gracias a sus funcionalidades únicas, NOD32 es capaz de brindar la mejor protección antivirus a sus usuarios, en el mismo momento en que los virus son liberados por sus creadores.
En Uruguay, NOD32 es distribuido en forma exclusiva por Video Soft, empresa que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios.
Publicado en:
http://www.vsantivirus.com/nod32-161004.htm
