Autor Tema: 19 de octubre, virus  (Leído 2689 veces)

Desconectado Danae

  • Administrator
  • *
  • Mensajes: 3210
  • Casi siempre en el armario.
    • windowsfacil,  primeros pasos con windows y el pc
19 de octubre, virus
« en: 19 de Octubre de 2004, 06:52:19 pm »
W32/SpyBot.AME. Se copia como "fwr.exe"
Nombre: W32/SpyBot.AME
Nombre Nod32: Win32/SpyBot.AME
Tipo: Gusano de Internet Caballo de Troya de acceso remoto
Alias: SpyBot.AME, Win32/SpyBot.AME, W32.Spybot.FBG, WORM_SDBOT.WC, Backdoor.IRC.Bot
Plataforma: Windows 32-bit
Tamaño: 45,152 bytes
Gusano que se propaga por recursos compartidos de redes, y que puede actuar como un troyano de acceso remoto controlado vía IRC, con capacidad de tomar el control del equipo infectado.
Cuando se ejecuta se copia en la carpeta del sistema de Windows con el siguiente nombre:
c:\windows\system\fwr.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).

Crea las siguientes entradas en el registro para ejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Fwr Command Module = "fwr.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
Fwr Command Module = "fwr.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Fwr Command Module = "fwr.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
Fwr Command Module = "fwr.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Fwr Command Module = "fwr.exe"
El gusano intenta continuamente infectar máquinas remotas, generando direcciones IP al azar para conectarse a través del puerto 445. Utiliza una extensa lista de usuarios y contraseñas predefinidas en su código.

Si la conexión es exitosa, busca los recursos ADMIN$, C$, D$, IPC$ Y PRINT$. Si los encuentra, entonces inicia su rutina de infección, intentando copiarse en dicho equipo en las siguientes ubicaciones:
admin$\fwr.exe
admin$\system32\fwr.exe
c$\fwr.exe
c$\windows\system32\fwr.exe
c$\winnt\system32\fwr.exe
d$\fwr.exe
ipc$\fwr.exe
print$\fwr.exe
Posee un componente de acceso por puerta trasera (backdoor), que intenta conectarse a servidores de IRC y unirse a un canal predeterminado. Actúa como un IRC Bot, esperando las instrucciones en dicho canal. Un BOT es la copia de un usuario en un canal de IRC, preparado para responder y ejecutar ciertos comandos en forma automática.

Utiliza como servidor el siguiente (por el puerto TCP/81):
loser.ezirc.net
El canal de IRC es el siguiente:
#!crazy
Y utiliza la siguiente contraseña:
xcrackx
Algunas acciones posibles:
Auto actualizarse
Capturar imágenes de webcams
Capturas de pantalla
Conectarse a una URL determinada
Descargar y ejecutar archivos
Enviar archivos
Enviar pulsaciones de teclado a la ventana activa
Escanear puertos de otras computadoras
Iniciar un servidor HTTP
Matar procesos e hilos de ejecución
Obtener información del sistema
Realizar ataques de denegación de servicio (UDP, ICMP y SYN flooding)
Robar el caché de contraseñas en Windows 95, 98 y ME
También roba la información de registro (CD-Keys), de los siguientes juegos:
Battlefield 1942
Battlefield 1942 Road To Rome
Call of Duty
Command & Conquer Generals
Counter-Strike
FIFA 2003
Half-Life
Need For Speed Hot Pursuit 2
Neverwinter Nights
Project IGI 2
Rainbow Six III RavenShield
Soldier of Fortune II - Double Helix
Unreal Tournament 2003
El gusano crea el siguiente mutex para no cargarse más de una vez al mismo tiempo, en memoria:
-rb0t-serv3r
Más información: http://www.vsantivirus.com/spybot-ame.htm

Adware/KeenValue. Cambia página de Inicio y búsqueda
Nombre: Adware/KeenValue
Nombre Nod32: Win32/Adware.KeenValue
Tipo: Caballo de Troya (Adware)
Alias: Adware.Binet, Adware.Incredifind, Adware.Keenval, Adware.KeenValue.A, Adware.KeenValue.B, Adware/BHO, Adware/KeenValue, Adware-KeenValue, Adware-KeenValue!hosts, Backdoor.Blarul.D, Download.Adware, Downloader.Keenval.A, Downloader.Keenval.B, Downloader.Keenval.C, Downloader.Keenval.D, Downloader.Keenval.E, Downloader.Keenval.F, Downloader.Keenval.G, Downloader.Keenval.H, Downloader.Keenval.I, Downloader.Keenval.J, Downloader.Keenval.K, Downloader.Keenval.L, Downloader.Keenval.M, Downloader.Keenval.N, Downloader.Keenval.O, Dropper.Small.6.L, SecurityRisk.Downldr, TR/Dldr.Keenval.1, TR/Dldr.Keenval.2, TR/Dldr.Keenval.3, TR/Dldr.Keenval.B.1, TR/Dldr.Keenval.B.3, TR/Dldr.Keenval.B.4, Trj/Downloader.IA, Trojan.DL.Keenval.A, Trojan.DL.Keenval.B, Trojan.DL.Keenval.C, Trojan.DL.Keenval.D, Trojan.Downloader, Trojan.DownLoader.161, Trojan.DownLoader.162, Trojan.DownLoader.163, Trojan.Downloader.Keenval.A, Trojan.Downloader.Keenval.B, Trojan.Downloader.Keenval.E, Trojan.Downloader.KeenValue.A, Trojan.Downloader.KeenValue.C, Trojan.Downloader.Lowgo, Trojan.Downloader.Testad, Trojan.Keenval, Trojan.KeenValAd, Trojan.KeenValAd, Trojan.KeenValAd, Trojan.Startpage.Erfec, Trojan.Trojandownloader.Keenval, Trojan.Trojandownloader.Keenval.C, Trojan.Trojandownloader.Nsis.Gen, Trojan.Wupdater, Trojan.Wupder.Sui, TrojanDownloader.Small.B, TrojanDownloader.Win32.Keenval, TrojanDownloader.Win32.Keenval.b, TrojanDownloader.Win32.Keenval.c, TrojanDownloader.Win32.Keenval.d, TrojanDownloader.Win32.Keenval.e, TrojanDownloader.Win32.Keenval.e, TrojanDownloader.Win32.Keenval.E, TrojanDownloader.Win32.Keenval.e, TrojanDownloader.Win32.Keenval.f, TrojanDownloader:Win32/Keenval.A, TrojanDownloader:Win32/Keenval.B, TrojanDownloader:Win32/Keenval.C, TrojanDownloader:Win32/Keenval.E, TrojanDownloader:Win32/Small.BX, TrojanDropper.Win32.Small.jh, W32/Keenval.A, W32/Mudrop.E@dr, W32/Suij.A, W32/Suij.B, W32/Suij.C, Win32/Adware.KeenValue, Win32/TrojanDownloader.Keenval.A, Win32/TrojanDownloader.Keenval.B, Win32/TrojanDownloader.Keenval.C, Win32/TrojanDownloader.Keenval.E, Win32/TrojanDownloader.Keenval.F, Win32:Trojan-gen. {Other}, Win32:Trojan-gen. {VC}
Plataforma: Windows 32-bit
Tamaño: variable
Se trata de un adware agregado por algunos sitios, para controlar la visualización de su publicidad. Los cambios realizados en el sistema, comprometen el rendimiento general de la navegación.
Cambia las principales configuraciones por defecto del Internet Explorer, para que su página de inicio, de búsqueda, y otras asignadas por defecto, apunten a una dirección como la siguiente (entre otras posibles):
http:/ /tracking .thunderdownloads .com
También puede descargar otros adwares de los sitios visitados.
Cuando se ejecuta, crea la carpeta "KeenValue" en una de las siguientes ubicaciones:
C:\Program Files\Common Files\KeenValue
C:\Archivos de programa\Archivos comunes\KeenValue
Luego, copia dentro de esa carpeta algunos de estos archivos:
iesliderwin32.dll
keenvalue.exe
keenvalueinstall_with_track_120.exe
killkeenvalue.exe
kv???.dat
kv001.dat
kv002.dat
kv099.dat
kvlhookwin.dll
kwm.exe
senduninstallinfo.exe
setup_incredifind_ultimatesaver_with_track.exe
setup_powersearch_ultimatesaver_with_track.exe
tipb.exe
uninstall.exe
Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
KeenValue = [ubicación]\KeenValue.exe
También crea las siguientes entradas en el registro:
HKLM\Software\eUniverse
HKLM\Software\KeenValue

Limpieza
Puede desinstalar este parásito, desde "Agregar o quitar programas" del Panel de control de Windows. Sin embargo, sugerimos el siguiente procedimiento de limpieza.

NOTA: Eliminar este parásito, puede ocasionar que algunos de los programas que lo instalan, dejen de funcionar o no funcionen correctamente.

Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.

Borrar manualmente archivos agregados por el parásito
Desde el Explorador de Windows, localice y borre la carpeta "KeenValue" y su contenido (puede estar en alguna de las siguientes ubicaciones):
C:\Program Files\Common Files\KeenValue
C:\Archivos de programa\Archivos comunes\KeenValue
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre" busque y borre todas las entradas relacionadas con alguno de los siguientes nombres:
KeenValue
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
5. Haga clic en la carpeta "SOFTWARE" y borre las siguientes entradas:
eUniverse
KeenValue
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de "temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos y repita todos los pasos anteriores:

Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.

Procedimiento para restaurar página de inicio y página de búsqueda en Internet Explorer
1. Cierre todas las ventanas del Internet Explorer abiertas
2. Seleccione "Mi PC", "Panel de control".
3. Haga clic en el icono "Opciones de Internet".
4. Seleccione la lengüeta "Programas".
5. Haga clic en el botón "Restablecer configuración Web"
6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI.
7. Haga clic en "Aceptar".

Cambiar la página de inicio del Internet Explorer
Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o haga clic en "Página en blanco"). O navegue hacia una página de su agrado, haga clic en Herramientas, Opciones de Internet, General, y finalmente haga clic en "Usar actual".

Cambiar las páginas de búsqueda del Internet Explorer
1. Inicie el Internet Explorer.
2. Haga clic en el botón "Búsqueda" de la barra de herramientas.
3. En el panel que se despliega (Nuevo, Siguiente, Personalizar), seleccione "Personalizar".
4. Asegúrese de marcar "Utilizar el asistente de búsqueda" (Use Search Assistant).
5. Haga clic en el botón "Reiniciar" (Reset).
6. Haga clic en el botón "Configuración de Autosearch" (Autosearch Settings).
7. Elija un proveedor de búsquedas en el menú (Search Provider).
8. Seleccione "Aceptar" hasta salir de todas las opciones.
Más información: http://www.vsantivirus.com/adware-keenvalue.htm

Rbot.SX-Z
Versiones: SX, SY y SZ
Gusanos residentes en memoria que se propagan a través de recursos compartidos en red probando el acceso sobre las máquina remotas con una larga lista de nombres de usuario y claves de acceso que ellos mismos transportan.
Utilizan los agujeros de seguridad abiertos por las siguientes vulnerabilidades de Windows:
* Buffer Overflow in Universal Plug and Play
* Buffer Overflow in SQL Server 2000
* Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) vulnerability
* WebDAV vulnerability
* LSASS vulnerability
Además, utilizan las técnicas de puerta trasera de otros virus para descargar copias de sÍ mismo:
* BKDR_KUANG
* BKDR_NETDEVIL
* BKDR_OPTIX
* BKDR_SUB7
* WORM_BAGLE
* WORM_MYDOOM

También poseen capacidades de puerta trasera (backdoor) que utilizarán para conectar con canales IRC predeterminados desde donde operar remotamente sobre la máquina infectada.
Además intentarán capturar las claves de instalación de conocidos juegos.
Nombre completo: Worm.W32/Rbot.SX-Z    
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:WORM_RBOT.SX (Trend Micro), WORM_RBOT.SY (Trend Micro), WORM_RBOT.SZ (Trend Micro)
Descargan una copia de si mismo con el nombre MG-UPDATE.EXE.(SX), WUAMGRD.EXE o WAUMGRD.EXE(SY), y RUNDLL.EXE(SZ) en la carpeta del sistema de Windows
Añaden las siguientes entradas en el registro para facilitarse su propia ejecución junto al arranque de Windows:
Según versiones:
Versión SX:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
Microsoft Update = "MG-UPDATE.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices
Microsoft Update = "MG-UPDATE.EXE"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
Microsoft Update = "MG-UPDATE.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
EnableDCOM= "N"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous= "dword:00000001"
Versión SY:
Si se descarga WUAMGRD.EXE:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
Microsoft Update = "WUAMGRD.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices
Microsoft Update = "WUAMGRD.EXE"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
Microsoft Update = "WUAMGRD.EXE"
Si se descarga WAUMGRD.EXE:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
Microsoft Update = "WAUMGRD.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices
Microsoft Update = "WAUMGRD.EXE"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
Microsoft Update = "WAUMGRD.EXE"
Versión SZ:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
Win32 USB Driver = "RUNDLL.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunOnce
Win32 USB Driver = "RUNDLL.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices
Win32 USB Driver = "RUNDLL.EXE"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
Win32 USB Driver = "RUNDLL.EXE"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunOnce
Win32 USB Driver = "RUNDLL.EXE"
Que también se registrará como servicio con el nombre EatShit
Propagación en Red
Generan direcciones IP sobre las que intentarán acceder para descargarse y ejecutarse en los recursos compartidos de esas máquinas:
ADMIN$\System32
C$\Windows\System32
C$\WINNT\System32
Para el acceso, intentarán combinaciones de Usuario/clave de la siguiente lista:
access
accounting
accounts
adm
administrador
administrat
administrateur
administrator
admins
asd
backup
bill
bitch
blank
bob
brian
changeme
chris
cisco
compaq
computer
control
data
database
databasepass
databasepassword
db1
db1234
db2
dba
dbpass
dbpassword
default
dell
demo
domain
domainpass
domainpassword
eric
exchange
fred
fuck
george
god
guest
hell
hello
home
homeuser
ian
ibm
internet
intranet
jen
joe
john
kate
katie
lan
lee
linux
login
loginpass
luke
mail
main
mary
mike
neil
nokia
none
null
oem
oeminstall
oemuser
office
oracle
orainstall
outlook
owner
pass
pass1234
passwd
password1
peter
pwd
qaz
qwe
qwerty
sam
sex
siemens
slut
sql
sqlpassoainstall
staff
student
sue
susan
system
teacher
technical
test
unix
user
web
win2000
win2k
win98
windows
winnt
winpass
winxp
www
wwwadmin
zxc
007
123
1234
2000
2001
2002
2003
2004
12345
123456
1234567
12345678
123456789
1234567890
Uso de Vulnerabilidades:
Se sirven de las siguientes vulnerabilidades para llevar a cabo sus actividades.
Microsoft Security Bulletin MS01-059
Microsoft Security Bulletin MS02-061
Microsoft Security Bulletin MS03-026
Microsoft Security Bulletin MS03-007
Microsoft Security Bulletin MS04-011
Capacidades de Puerta trasera (Backdoor)
Intentarán conectarse a un canal IRC predeterminado desde donde permanecerán a la espera de la recepción de comandos remotos del atacante, que podrá:
Descargar y ejecutar ficheros
Habilitar y desabilitar la compartición de recursos en red
Activar el protocolo DCOM
Actuar como un servidor HTTP/FTP
Capturar información del sistema como :
Velocidad de la CPU
Memoria disponible
Espacio disponible en disco
Robo de claves de juegos.
Intentarán tener acceso a la informacióin relativa a las claves de instalación y uso de los siguientes juegos:
Battlefield 1942
Battlefield 1942 (Road To Rome)
Battlefield 1942 (Secret Weapons of WWII)
Battlefield Vietnam
Black and White
Chrome
Command and Conquer: Generals
Command and Conquer: Generals (Zero Hour)
Command and Conquer: Red Alert
Command and Conquer: Red Alert 2
Command and Conquer: Tiberian Sun
Counter-Strike (Retail)
FIFA 2002
FIFA 2003
Freedom Force
Global Operations
Gunman Chronicles
Half-Life
Hidden & Dangerous 2
IGI 2: Covert Strike
Industry Giant 2
James Bond 007: Nightfire
Legends of Might and Magic
Medal of Honor: Allied Assault
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault: Spearhead
Microsoft Windows Product ID
Nascar Racing 2002
Nascar Racing 2003
Need For Speed Hot Pursuit 2
Need For Speed: Underground
Neverwinter Nights
Neverwinter Nights (Hordes of the Underdark)
Neverwinter Nights (Shadows of Undrentide)
NHL 2002
NHL 2003
NOX
Rainbow Six III RavenShield
Shogun: Total War: Warlord Edition
Soldier of Fortune II - Double Helix
Soldiers Of Anarchy
The Gladiators
Unreal Tournament 2003
Unreal Tournament 2004
Más información: http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4383

Spybot FBG.
Gusano que se propaga por recursos compartidos de redes, y que puede actuar como un troyano de acceso remoto controlado vía IRC, con capacidad de tomar el control del equipo infectado.
Nombre completo: Worm.W32/Spybot.FBG    
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
w32
Tamaño (bytes): 45152
Alias:W32.Spybot.FBG (Symantec), WORM_SDBOT.WC (Trend Micro)
Cuando se ejecuta crea el siguiente fichero en la carpeta del sistema de Windows:
c:\windows\system\fwr.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
Crea las siguientes entradas en el registro para ejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Fwr Command Module = "fwr.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
Fwr Command Module = "fwr.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Fwr Command Module = "fwr.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
Fwr Command Module = "fwr.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Fwr Command Module = "fwr.exe"
El gusano intenta continuamente infectar máquinas remotas, generando direcciones IP al azar para conectarse a través del puerto 445. Utiliza una extensa lista de usuarios y contraseñas predefinidas en su código.
Si la conexión es exitosa, busca los recursos ADMIN$, C$, D$, IPC$ Y PRINT$. Si los encuentra, entonces inicia su rutina de infección, intentando copiarse en dicho equipo en las siguientes ubicaciones:
admin$\fwr.exe
admin$\system32\fwr.exe
c$\fwr.exe
c$\windows\system32\fwr.exe
c$\winnt\system32\fwr.exe
d$\fwr.exe
ipc$\fwr.exe
print$\fwr.exe
Puerta Trasera Posee un componente de acceso por puerta trasera (backdoor), que intenta conectarse a servidores de IRC y unirse a un canal predeterminado. Actúa como un IRC Bot, esperando las instrucciones en dicho canal. Un BOT es la copia de un usuario en un canal de IRC, preparado para responder y ejecutar ciertos comandos en forma automática.

Utiliza como servidor el siguiente (por el puerto TCP/81):
loser.ezirc.net
El canal de IRC es el siguiente:
#!crazy
Y utiliza la siguiente contraseña:
xcrackx
Algunas acciones posibles:
Auto actualizarse
Capturar imágenes de webcams
Capturas de pantalla
Conectarse a una URL determinada
Descargar y ejecutar archivos
Enviar archivos
Enviar pulsaciones de teclado a la ventana activa
Escanear puertos de otras computadoras
Iniciar un servidor HTTP
Matar procesos e hilos de ejecución
Obtener información del sistema
Realizar ataques de denegación de servicio (UDP, ICMP y SYN flooding)
Robar el caché de contraseñas en Windows 95, 98 y ME
También roba la información de registro (CD-Keys), de los siguientes juegos:
Battlefield 1942
Battlefield 1942 Road To Rome
Call of Duty
Command & Conquer Generals
Counter-Strike
FIFA 2003
Half-Life
Need For Speed Hot Pursuit 2
Neverwinter Nights
Project IGI 2
Rainbow Six III RavenShield
Soldier of Fortune II - Double Helix
Unreal Tournament 2003
El gusano crea el siguiente mutex para no cargarse más de una vez al mismo tiempo, en memoria:
-rb0t-serv3r
Más información: http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4382

Lowtaper

Troyano que actúa como puerta trasera, permitiéndo a un atacante remoto ejecutar comandos en el equipo infectado.  
 Nombre completo: Backdoor.W32/Lowtaper    
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 45056
Alias:Backdoor.Lowtaper (Symantec), TrojanProxy.Win32.Ranky.gen (Kaspersky (viruslist.com))
Cuando Backdoor.W32/Lowtaper es ejecutado, realiza las siguientes acciones:
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor: "Printer" = "- ruta del fichero -
Abre el puerto TCP 24681 de la máquina infectada y permanece en espera de conexiones.
Esto podría ser utilizado para ejecutar comandos procedentes de un atacante remoto.
Intenta conectarse a múltiples servidores a través del puerto UDP 10104, enviando una notificación de que el sistema ha sido infectado.
Más información: http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4381

Yiha
Troyano con capacidad de puerta trasera, que permite a un atacante remoto subir y descargar ficheros del equipo infectado.  
Nombre completo: Backdoor.W32/Yiha    
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 163893
Alias:Backdoor.Yiha (Symantec)
Cuando Backdoor.W32/Yiha es ejecutado, realiza las siguientes acciones:
Se copia a sí mismo como %Windir%\System32\config\LSASS.EXE.
Nota: %Windir% es variable. Hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows o C:\Winnt.
Añade la siguiente clave al registro de Windows:
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System32
lo cual registra al troyano como un servicio que se muestra con el nombre System Event Notification Service.
Este servicio se configura para ser ejecutado automáticamente cada vez que el sistema sea iniciado.

Permanece en escucha a través del puerto TCP 8080, permitiéndo al atacante remoto la descarga y subida de ficheros del equipo infectado.
Más información: http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4380

Narcs  
Gusano cuya propagación se realiza a través de IRC y mediante las redes de intercambio de ficheros de las aplicaciones IMesh y KaZaA.
Descarga y ejecuta un ficehro procedente de determinado sitio web.  
 Nombre completo: Worm.W32/Narcs@IRC    
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [IRC] - Se envía a otros usuarios de un canal IRC.
Tamaño (bytes): 12800
Alias:W32.Narcs (Symantec), W32/Narcs (PerAntivirus)
Cuando Worm.W32/Narcs@IRC es ejecutado, realiza las siguientes acciones:
Crea el mutex W32.Scran-Worm para no ejecutarse más de una vez en memoria.
Nota: Un mutex es un objeto utilizado para controlar el acceso a recursos (cualquier tipo de programas y aplicaciones, etc.) y evitar que más de un proceso acceda al mismo tiempo al mismo recurso. Esto previene la múltiple carga del gusano en memoria.

Intenta descargar un fichero del sitio www.freeweb.com.
El fichero se guarda con el nombre c:\botnet.exe y es ejecutado.
Crea las siguientes copias de sí mismo:
%Program Files%\sys32i\Age of Empires crack.exe
%Program Files%\sys32i\Age of Empires.exe
%Program Files%\sys32i\CD Key.exe
%Program Files%\sys32i\Counter Strike 6.exe
%Program Files%\sys32i\Counter Strike.exe
%Program Files%\sys32i\Grand Theft Auto 3 CD2 ISO.exe
%Program Files%\sys32i\Half-Life.exe
%Program Files%\sys32i\Hotmail Hack.exe
%Program Files%\sys32i\Hotmail account cracker.exe
%Program Files%\sys32i\KeyGen.exe
%Program Files%\sys32i\Microsoft Office.exe
%Program Files%\sys32i\Norton Anti Virus 2004.exe
%Program Files%\sys32i\Norton Anti Virus 2005.exe
%Program Files%\sys32i\Norton Anti Virus Crack.exe
%Program Files%\sys32i\Norton Firewall.exe
%Program Files%\sys32i\Norton Internet Security 2004.exe
%Program Files%\sys32i\Partition Magic 8.exe
%Program Files%\sys32i\Playstation 2.exe
%Program Files%\sys32i\Resident Evil.exe
%Program Files%\sys32i\Scran.cpl
%Program Files%\sys32i\Scran.exe
%Program Files%\sys32i\Tomb Raider.exe
%Program Files%\sys32i\Trojan Remover.exe
%Program Files%\sys32i\Windows XP Home.exe
%Program Files%\sys32i\Yahoo Hack.exe
%Program Files%\sys32i\ZoneAlarm Firewall Pro.exe
Nota: %ProgramFiles% es variable. Hace referencia al directorio de Archivos de Programa. Por defecto es C:\Archivos de Programa.

Modifica el fichero %Program Files%\mIRC\script.ini. Esto permite que Worm.W32/Narcs@IRC se propague a través de la red de IRC.
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor: "W32.Scran" = "%Program Files%\sys32i\Scran.exe"
Crea las siguientes entradas en el registro de Windows:
Clave: HKEY_CURRENT_USER\Software\Imesh\Client\LocalContent\
Valor: Dir0=012345:%Program Files%\sys32i
Clave: HKEY_CURRENT_USER\Software\Kazaa\LocalContent\
Valor: Dir0=012345:%Program Files%\sys32i
Clave: HKEY_CURRENT_USER\Software\Kazaa\Transfer\
Valor: DlDir0=%Program Files%\sys32i
donde %Program Files%\sys32i es el directorio por defecto de intercambio de ficheros en lor programas iMesh y KaZaA.
En caso de que la fecha del sistema sea el 1 de enero, el gusano mostrará el siguiente mensaje:



Más información: http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4379

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 15865
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
19 de octubre, virus
« Respuesta #1 en: 19 de Octubre de 2004, 08:28:57 pm »
Pues parece que esta completillo hoy..   :?

gracias Danae.

un saludo

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License