Wootbot.ND Gusano que se propaga utilizando la vulnerabilidad de LSASS (Local Security Authority Subsystem). Utiliza un bot ICR para conectarse a un servidor IRC esperando comandos remotos.
Nombre completo: Worm-Backdoor.W32/Wootbot.ND@LSASS
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [LSASS] - Gusano que se difundiende aprovechando la vulnerabilidad de LSASS (MS04-011) que afecta a Windows 2000 y XP.
Alias:Win32/Wootbot.ND (Sophos), WORM_WOOTBOT.DD (Trend Micro)
Cuando se ejecuta se copia en la carpeta de sistema de Windows con el nombre sndmon32.exe
De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
Para ejecutarse en cada inicio del sistema crea las siguientes claves en el registro de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Windows Sound Manager = sndmon32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
Windows Sound Manager = sndmon32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Sound Manager = sndmon32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Windows Sound Manager = sndmon32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows Sound Manager = sndmon32.exe
HKU\.Default\Software\Microsoft\Windows\CurrentVersion\Run
Windows Sound Manager = sndmon32.exe
HKU\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce
Windows Sound Manager = sndmon32.exe
El gusano crea un servicio llamado "Windows Registry Express Loader"
También roba números de serie (CD-Keys) de varios video juegos
Un atacante externo puede ulilizar la puerta trasera del gusano para tener control del equipo infectado.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4461Curdeal Troyano que abre una puerta trasera en el equipo infectado, que permite a un atacante remoto el acceso ilícito a ese sistema.
Notifica al intruso que ya está disponible la puerta trasera a través de un sitio web predeterminado.
Nombre completo: Backdoor.W32/Curdeal
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 17408
Alias:Backdoor.Curdeal (Symantec)
Cuando Backdoor.W32/Curdeal es instalado, realiza las siguientes acciones:
Crea una copia de sí mismo en %System%\svchost.exe.
Nota: %System% es variable. El troyano localiza el directorio System y se replica en esa ubicación. Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor: "tjstartup" = "%System%\svchost.exe"
Añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_CURRENT_USER\Software.
Valor: "tjservers"
Abre una puerta trasera en un puerto aleatorio del equipo infectado, a través del que espera recibir instrucciones procedentes de un atacante remoto.
Notifica al sitio currentdeal.biz a través de su puerto 2080, que la puerta trasera ha sido instalada en la máquina atacada.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4460 Gavir Gusano cuya propagación se realiza a través de recursos compartidos en red, intentando replicarse en equipos a los que consigue acceder.
Descarga y ejecuta un troyano desde Internet que intenta capturar información sobre el juego Legend of Mir2.
Nombre completo: Worm.W32/Gavir@SMB
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [SMB] - Se difunde por carpetas compartidas de red de Microsoft
Tamaño (bytes): 851456
Alias:W32/Gavir.A.worm (Panda Software)
Cuando Worm.W32/Gavir@SMB es ejecutado, realiza las siguientes acciones:
Descarga un troyano desde una página web.
Ejecuta el troyano en el ordenador afectado. Este intentará capturar información sobre el juego de ordenador Legend of Mir2.
Este gusano crea los siguientes ficheros en el equipo infectado:
Una copia de sí mismo en el directorio de Windows.
Un script en el directorio temporal, que borra el gusano y a sí mismo, una vez que ha terminado su ejecución.
Un archivo ejecutable en el mismo directorio en que ha sido ejecutado el gusano. El nombre de dicho archivo es el mismo que el del gusano, pero añadiendo una extensión EXE.
A continuación, y en caso de haber sido capaz de descargar el troyano, crea la siguiente entrada en el Registro de Windows:
Clave: HKEY_LOCAL_MACHINE\ Soft\ DownloadWWW
Valor: auto = 1
Worm.W32/Gavir@SMB se propaga a través de recursos compartidos de red.
Para ello, realiza el siguiente proceso:
Comprueba si el ordenador afectado pertenece a una red.
En caso afirmativo, intenta hacer una copia de sí mismo en los recursos compartidos IPC$ y ADMIN$.
Para conseguir acceso a estos recursos, utiliza una contraseña en blanco, o la misma contraseña que la del ordenador afectado.
Si lo consigue, crea una tarea programada en el ordenador remoto mediante el Programador de Tareas, para ejecutar la copia de sí mismo que ha realizado.
Otros Detalles
Está escrito en el lenguaje de programación Delphi y tiene un tamaño de 851456 Bytes.
Crea el mutex SemaphoreMe para asegurarse de que únicamente haya una copia de sí mismo activa en cada momento.
Nota: Un mutex es un objeto utilizado para controlar el acceso a recursos (cualquier tipo de programas y aplicaciones, etc.) y evitar que más de un proceso acceda al mismo tiempo al mismo recurso. Esto previene la múltiple carga del gusano en memoria.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4459
