W32/Protoride.NAG. Se copia como MSUPDATE.EXENombre: W32/Protoride.NAG
Nombre Nod32: Win32/Protoride.NAG
Tipo: Gusano y Caballo de Troya de acceso remoto
Alias: Protoride.NAG, Win32/Protoride.NAG, W32/Protoride-W, Worm.W32.Protoride.Gen, Backdoor.SDBot.Gen, Win32/Protoride.Variant.Worm, W32/Protoride.AR.wo
Plataforma: Windows 32-bit
Tamaño: 90,624 bytes
Se propaga a través de recursos compartidos en redes, intentando acceder a ellos utilizando diferentes nombres de usuario y contraseñas incluidos en su propio código. Posee capacidad de acceso remoto clandestino por puerta trasera (backdoor).
Posee su propio cliente IRC (Internet Relay Chat), con el cuál intenta acceder a un determinado servidor de IRC. Una vez conectado a él, envía mensajes privados a un usuario remoto, notificándolo de su presencia, y queda a la espera de posibles comandos.
Los comandos disponibles están en español, y permiten acciones como el robo de información confidencial del usuario infectado, tales como contraseñas, nombres de usuario, etc.
El gusano intenta copiarse en los siguientes directorios, con el nombre de MSUPDATE.EXE:
\Documents and Settings\All Users\Kynnist-valikko\Ohjelmat\Kynnistys\
\Documents and Settings\All Users\Men Inicio\Programas\Inicio\
\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
\Documents and Settings\All Users\Menu Iniciar\Programas\Iniciar\
\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\
\Documents and Settings\All Users\Menu Start\Programy\Autostart\
\Documents and Settings\All Users\Menuen Start\Programmer\Start\
\Documents and Settings\All Users\Start Menu\Programlar\BASLANGI
\Documents and Settings\All Users\Start Menu\Programs\StartUp\
\Documents and Settings\All Users\Start-meny\Programmer\Oppstart\
\Documents and Settings\All Users\Start-menyn\Program\Autostart\
\Dokumente und Einstellungen\All Users\Startmen
\Programme\Autostart\
\WIN95\Kynnist-valikko\Ohjelmat\Kynnistys
\Documents and Settings\All Users\Menu Dmarrer\Programmes\Dmarrage\
\WIN95\Menú Inicio\Programas\Inicio\
\WIN95\Menu Avvio\Programmi\Esecuzione automatica\
\WIN95\Menu Dmarrer\Programmes\Dmarrage\
\WIN95\Menu Iniciar\Programas\Iniciar\
\WIN95\Menu Start\Programma's\Opstarten\
\WIN95\Menu Start\Programy\Autostart\
\WIN95\Menuen Start\Programmer\Start\
\WIN95\MenuIniciar\Programas\Iniciar\
\WIN95\Start Menu\Programlar\BASLANGI
\WIN95\Start Menu\Programs\StartUp\
\WIN95\Startmen
\WIN95\Start-meny\Programmer\Oppstart\
\WIN95\Start-menyn\Program\Autostart\
\WIN98\Kynnist-valikko\Ohjelmat\Kynnistys\
\WIN98\Menú Inicio\Programas\Inicio\
\WIN98\Menu Avvio\Programmi\Esecuzione automatica\
\WIN98\Menu Dmarrer\Programmes\Dmarrage\
\WIN98\Menu Iniciar\Programas\Iniciar\
\WIN98\Menu Start\Programma's\Opstarten\
\WIN98\Menu Start\Programy\Autostart\
\WIN98\Menuen Start\Programmer\Start\
\WIN98\MenuIniciar\Programas\Iniciar\
\WIN98\Start Menu\Programlar\BASLANGI
\WIN98\Start Menu\Programs\StartUp\
\WIN98\Startmen
\WIN98\Start-meny\Programmer\Oppstart\
\WIN98\Start-menyn\Program\Autostart\
\WINDOWS.000\Menú Inicio\Programas\Inicio\
\WINDOWS.000\Menu Iniciar\Programas\Iniciar\
\WINDOWS.000\Start Menu\Programs\StartUp\
\WINDOWS.000\Startmen
\WINDOWS\Kynnist-valikko\Ohjelmat\Kynnistys\
\WINDOWS\Menú Inicio\Programas\Inicio\
\WINDOWS\Menu Avvio\Programmi\Esecuzione automatica\
\WINDOWS\Menu Dmarrer\Programmes\Dmarrage\
\WINDOWS\Menu Iniciar\Programas\Iniciar\
\WINDOWS\Menu Start\Programma's\Opstarten\
\WINDOWS\Menu Start\Programy\Autostart\
\WINDOWS\Menuen Start\Programmer\Start\
\WINDOWS\MenuIniciar\Programas\Iniciar\
\WINDOWS\Start Menu\Programlar\BASLANGI
\WINDOWS\Start Menu\Programs\StartUp\
\WINDOWS\Startmen
\WINDOWS\Start-meny\Programmer\Oppstart\
\WINDOWS\Start-menyn\Program\Autostart\
\WINME\Kynnist-valikko\Ohjelmat\Kynnistys\
\WINME\Menú Inicio\Programas\Inicio\
\WINME\Menu Avvio\Programmi\Esecuzione automatica\
\WINME\Menu Dmarrer\Programmes\Dmarrage\
\WINME\Menu Iniciar\Programas\Iniciar\
\WINME\Menu Start\Programma's\Opstarten\
\WINME\Menu Start\Programy\Autostart\
\WINME\Menuen Start\Programmer\Start\
\WINME\MenuIniciar\Programas\Iniciar\
\WINME\Start Menu\Programlar\BASLANGI
\WINME\Start Menu\Programs\StartUp\
\WINME\Startmen
\WINME\Start-meny\Programmer\Oppstart\
\WINME\Start-menyn\Program\Autostart\
También modifica la siguiente entrada en el registro para ejecutarse cada vez que se accede a un archivo .EXE:
HKCR\exefile\shell\open\command
(Predeterminado) = [camino y nombre del gusano] "%1" %*
También crea las siguientes entradas, la primera para autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"" = [camino y nombre del gusano]
HKLM\Software\BeyonD inDustries\ProtoType[v6.7.6]
El gusano se propaga por redes locales, copiándose en todos los recursos compartidos con permisos de escritura disponibles. Si existen contraseñas, intenta con varios nombres de usuario y claves predeterminadas, disponibles en su código.
Utiliza su propio cliente IRC para conectarse a un servidor donde crea un canal especial o una sala de chat. Luego envía un mensaje privado a un usuario determinado.
Cualquier usuario que tenga acceso al canal creado, puede ingresar a los equipos infectados, pudiendo realizar cualquiera de las siguientes acciones:
- Descargar y enviar archivos
- Enumerar cuentas de acceso telefónico
- Examinar direcciones IP
- Finalizar la ejecución del propio troyano
- Listar las conexiones TCP actuales
- Listar los procesos en ejecución
- Obtener información del sistema infectado
- Ocultar o mostrar ventanas de programas
- Realizar ataques de denegación de servicio (DoS)
- Realizar ataques flood con paquetes UDP
- Robar contraseñas
La información robada incluye lo siguiente:
- Cantidad de memoria instalada
- Contraseñas del sistema y de redes (usa API indocumentado)
- Datos de las cuentas de conexión telefónica
- Idioma del sistema operativo
- Lista de actuales sesiones de red
- Lista de procesos en ejecución
- Tipo y velocidad del procesador
- Versión instalada del sistema operativo
Puede realizar ataques de denegación de servicio (DoS) a determinados servidores de IRC.
Reparación manualEstos pasos deben ser repetidos en cada computadora conectada a la misma red local de la maquina infectada.
Deshabilitar los recursos compartidosEs importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.
Antivirus (preparación)1. Actualice sus antivirus con las últimas definiciones
2. Reinicie Windows en modo a prueba de fallos,
3. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
4. Borre los archivos detectados como infectados por el virus.
Renombre REGEDIT.EXE como REGEDIT.COMDebe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al gusano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.
1. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:
Command /c Rename C:\Windows\Regedit.exe Regedit.com
En Windows 2000 y XP, cambie COMMAND por CMD.
Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).
2. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter
3. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\exefile
\shell
\open
\command
4. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:
(Predeterminado) = [nombre del gusano] "%1" %*
5. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del gusano y dejar solo lo siguiente (comillas, porcentaje, uno, comillas, espacio, porcentaje, asterisco):
(Predeterminado) = "%1" %*
6. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
7. Pinche sobre la carpeta "Run". Borre la siguiente entrada en el panel de la derecha:
= [camino y nombre del gusano]
8. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\BeyonD inDustries
9. Pinche sobre la carpeta "BeyonD inDustries" y bórrela.
10. Cierre el editor del registro.
11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Borrar los archivos creados por el gusano.En Windows 95/98/Me/NT/2000
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), lo siguiente:
MSUPDATE.EXE
4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados
5. Cierre la ventana de búsqueda
6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
En Windows XP1. Seleccione Inicio, Buscar
2. Seleccione "Todos los archivos y carpetas"
3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente:
MSUPDATE.EXE
4. Verifique que en "Buscar en:" esté seleccionado "C:"
5. Pinche en "Más opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Búsqueda" y borre todos los archivos encontrados
9. Cierre la ventana de búsqueda
10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/protoride-nag.htmYanz Yanz es un gusano que abre el puerto TCP 67 y permanece a la escucha. El gusano intentará ejecutar cualquier archivo que sea descargado remotamente a través de dicho puerto. Este archivo puede ser de cualquier naturaleza, incluyendo malware.
Intenta finalizar los procesos correspondientes al Editor del Registro de Windows, llamado REGEDIT.EXE, y a MSCONFIG.EXE.
Se propaga a través del correo electrónico, en un mensaje de características variables escrito en inglés, y a través de programas de intercambio de archivos para a par (P2P). Tanto los mensajes de correo como los archivos compartidos hacen referencia a la cantante Sun Yan Zi.
Nombre completo: Worm-Backdoor.W32/Yanz@P2P+MM
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [P2P+MM] - Se propaga por redes P2P y correo electrónico
Tamaño comprimido (bytes): 68608
Alias:W32/Yanz.A.worm (Panda Software)
Abre el puerto TCP 67 y permanece a la escucha. El gusano intentará ejecutar cualquier archivo que sea descargado remotamente a través de dicho puerto. Este archivo puede ser de cualquier naturaleza, incluyendo malware.
Intenta finalizar los procesos correspondientes al Editor del Registro de Windows, llamado REGEDIT.EXE, y a MSCONFIG.EXE.
Yanz crea los siguientes archivos:
LSASSS.EXE y YANZI.EXE en el directorio de sistema de Windows. Estos archivos son copias del gusano.
SUN_YAZI.SYS y SUN.SYS en el directorio de sistema de Windows. Estos archivos son copias del gusano, codificadas en formato base64.
YANZI.ZIP en el directorio de Windows. Este archivos es una copia del gusano, comprimida en formato ZIP.
SUN_YANZI.HTM en el directorio donde el gusano es ejecutado.
Varias copias de sí mismo en todos aquellos directorios cuyo nombre contenga la cadena de texto shar.
Yanz crea la siguiente entrada en el Registro de Windows:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Microsoft Kernel = %sysdir%\ lsasss.exe em32\sun.sys pQ” “
donde %sysdir% es el directorio de sistema de Windows. Mediante esta entrada, Yanz.A consigue ejecutarse cada vez que Windows se inicia.
Método de Propagación
1.- Propagación a través de correo electrónico.
Yanz llega al ordenador afectado en un mensaje de características variables, escrito en inglés:
Remitente: Este gusano falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. La dirección falsificada consiste en uno de los siguientes nombres y el dominio de correo del destinatario:
Guvenlik, Stephan-YanZi, Sun_YanZi, SunYanZi, Sun-YanZi, YanZi, YanZi-SuN.
Asunto: uno de los siguientes:
Forevere Sun Yanzi
Free MP3
Guvenkik
Love and SuN YanZi
SuN YanZi
Sun-YanZi
Sun-YanZi Mp3
Contenido: uno de los siguientes:
I don’t want anything. I want to see Sun YanZi.
I want to meet Sun YanZi. I am loving Sun-YanZi Magic.
My Favourite is Sun YanZi.
You must to listen Sun-Yanzi. I am enjoying to listen Sun Ya
Archivo adjunto: tiene un nombre y una extensión variables:
Posibles nombres: LOVE_SUN, STEPHAN_YANZI, SUN_YANZI, SUN_YANZI_MP3, SUNYANZI.
Posibles extensiones: CMD, PIF, SCR, ZIP.
El ordenador es afectado cuando el archivo adjunto es ejecutado.
Yanz busca direcciones de correo electrónico en archivos que tengan las siguientes extensiones: ADB, ASP, DBX, DOC, HTM, HTML, JSP, RTF, TXT y XML.
Yanz se envía a sí mismo a todas las direcciones de correo que ha recogido y a todos los contactos que aparecen en la Libreta de Direcciones, empleando para ello su propio motor SMTP.
Sin embargo, no se envía a aquellas direcciones que contengan alguna de las siguientes cadenas: @google, @kaspersky, @microsoft, @norman, @pandasoftware, @sophos, @symantec.
2.- Propagación a través de programas de intercambio de archivos.
Este gusano crea copias de sí mismo en directorios cuyo nombre contenga la cadena de texto shar. De este modo, intenta realizar copias de sí mismo en los directorios compartidos de los programas de intercambio de archivos. Utiliza los siguientes nombres de archivo:
Stephan YanZi.Mp3.exe
Sun YanZi - forever.mp3.exe
Sun YanZi - I am not sad.mp3.exe
Sun YanZi - Shen Qi.exe
Sun-YanZi.mp3.exe
Otros usuarios de estos programas podrán acceder de manera remota a estos directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por Yanz.A, pensando que se trata de canciones, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano. Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Yanz.A.
Yanz.A está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 68608 Bytes y está comprimido mediante UPX.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4474 Beagle.AX Gusano cuya propagación se realiza a través del envío de correos electrónicos a direcciones recopiladas en el equipo infectado, y mediante redes de intercambio de ficheros (P2P).
Abre una puerta trasera en el puerto TCP 2002 que permite que la máquina atacada, sea utilizada como emisora de correo.
Tiene capacidad para detener la ejecución de procesos pertenecientes a aplicaciones antivirus y de seguridad informática, así como para evitar que se activen varias versiones del gusano Netsky.
Nombre completo: Worm-Backdoor.W32/Beagle.AX@P2P+MM
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [P2P+MM] - Se propaga por redes P2P y correo electrónico
Alias:W32.Beagle.AX@mm (Symantec), W32/Bagle.AX@mm (PerAntivirus), WORM_BAGLE.AX (Trend Micro), I-Worm.Bagle.aw (Kaspersky (viruslist.com)), Bagle.AW (F-Secure)
Detalles
Cuando Worm-Backdoor.W32/Beagle.AX@P2P+MM es ejecutado, realiza las siguientes acciones:
Muestra el siguiente mensaje falso de error:
Pulsando el botón [OK] provocará la aparición de más de estos mensajes.
Crea los siguientes siete mutex, algunos de los cuales evitarán que puedan ejecutarse algunas variantes de la familia de gusanos Netsky.
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
'D'r'o'p'p'e'd'S'k'y'N'e't'
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
[SkyNet.cz]SystemsMutex
AdmSkynetJklS003
____--->>>>U<<<<--____
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
Nota: Un mutex es un objeto utilizado para controlar el acceso a recursos (cualquier tipo de programas y aplicaciones, etc.) y evitar que más de un proceso acceda al mismo tiempo al mismo recurso.
Elimina de las claves del registro de Windows indicadas, los siguientes valores, para evitar que se puedan ejecutar automáticamente algunas versiones del Netsky, cada vez que el sistema es ejecutado:
Claves: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valores: "My AV"
"Zone Labs Client Ex"
"9XHtProtect"
"Antivirus"
"Special Firewall Service"
"service"
"Tiny AV"
"ICQNet"
"HtProtect"
"NetDy"
"Jammer2nd"
"FirewallSvr"
"MsInfo"
"SysMonXP"
"EasyAV"
"PandaAVEngine"
"Norton Antivirus AV"
"KasperskyAVEng"
"SkynetsRevenge"
"ICQ Net"
Crea los siguientes ficheros en el equipo infectado:
%System%\sysinit.exe
%System%\sysinit.exeopen
%System%\sysinit.exeopenopen
%System%\sysinit.exeopenopenopen
%System%\sysinit.exeopenopenopenopen
Añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Valor: "Syskey" = "%System%\sysinit.exe"
Podría añadir las siguientes claves al registro de Windows:
Claves: HKEY_CURRENT_USER\Software\Microsoft\DownloadManager
HKEY_LOCAL_MACHINE\Software\Microsoft\DownloadManager
Intenta detener la ejecución de los siguientes procesos asociados a programas antivirus y a aplicaciones de seguridad informática:
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
sys_xp.exe
sysxp.exe
UPDATE.EXE
winxp.exe
kavsvc.exe
Abre una puerta trasera por el puerto TCP 2002 permitiéndo que la máquina atacada se utilice como emisora de correo electrónico.
Envía una petición HTTP GET a través del puerto TCP 80 al dominio webnomey.net, donde intenta contactar con un script de php.
Intenta descargar un fichero del dominio sash.cc y guardarlo como 1.exe, que a continuación es ejecutado.
Busca en el disco duro directorios cuyo nombre contengan la cadena "shar" y se replica en ellos con alguno de los siguientes nombres:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
Busca direcciones de correo en ficheros cuya extensión sea alguna de las siguientes:
.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp
Utiliza su propio motor SMTP (Simple Mail Transfer Protocol) para enviarse por correo electrónico a todas las direcciones recopiladas.
El mensaje enviado tiene las siguientes características:
Remitente: - Falsificado -.
Asunto: uno de los siguientes:
Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks :)
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Notification
Changes..
Update
Fax Message
Protected message
RE: Protected message
Forum notify
Site changes
Re: Hi
Encrypted document
Cuerpo del mensaje: uno de los siguientes:
Read the attach.
Your file is attached.
More info is in attach
See attach.
Please, have a look at the attached file.
Your document is attached.
Please, read the document.
Attach tells everything.
Attached file tells everything.
Check attached file for details.
Check attached file.
Pay attention at the attach.
See the attached file for details.
Message is in attach
Here is the file.
Seguido de alguno de los siguientes textos en caso de que el archivo anexo sea un fichero .zip:
For security reasons attached file is password protected. The password is [- imagen que contiene la contraseña -]
For security purposes the attached file is password protected. Password - -- [- imagen que contiene la contraseña -]<
Note: Use password [- imagen que contiene la contraseña -] to open archive.
Attached file is protected with the password for security reasons. Password is [- imagen que contiene la contraseña -]
In order to read the attach you have to use the following password: [- imagen que contiene la contraseña -]
Archive password:[- imagen que contiene la contraseña -]
Password - [- imagen que contiene la contraseña -]
Password: [- imagen que contiene la contraseña -]
Fichero Anexo: uno de los siguientes:
Information
Details
text_document
Updates
Readme
Document
Info
Details
MoreInfo
Message
seguido de alguna de estas extensiones:
.hta
.vbs
.exe
.scr
.com
.cpl
.zip
Además, una imagen que contiene la contraseña podría ir también anexada al mensaje.
Evita enviar el mensaje a direcciones electrónicas que contengan alguna de las siguientes cadenas de texto:
@hotmail
@msn
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@
Nombres de Ficheros Adjuntos (virus que llegan por correo)
Message
MoreInfo
Details
Info
Document
Readme
Updates
Information
text_document
Details
Asunto del mensaje (virus que llegan por correo)
Encrypted document
Re: Hi
Site changes
Forum notify
RE: Protected message
Protected message
Fax Message
Update
Changes..
Notification
RE: Message Notify
RE: Incoming Msg
Re: Incoming Message
Incoming message
Re: Document
RE: Text message
Re: Thanks :)
Re: Thank you!
Re: Yahoo!
Re: Hello
Re: Msg reply
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4473Lineage.B Troyano con capacidad para capturar las pulsaciones efectuadas sobre el teclado y enviar dicha información al atacante mediante correo electrónico.
Además, puede detener la ejecución de varios procesos relacionados con antivirus y la seguridad informática.
Se instala en el equipo infectado como una 'dll'.
Nombre completo: Trojan.W32/Lineage.B
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 195584
Alias:TROJ_LINEAGE.B (Trend Micro), TrojanSpy.Win32.Lineage.b (Otros)
Detalles
Trojan.W32/Lineage.B es un troyano residente en memoria que podría llegar al sistema como parte de una aplicación maliciosa o instalarse a través de una página web malintencionada.
Se instala en el equipo como una dll (Dynamic Link Library).
Tiene la capacidad de capturar todas las pulsaciones realizadas en el teclado y guardar esa información en el fichero LIN.BIN ubicado en el mismo directorio desde el que se ejecute el troyano.
Seguidamente, envía este fichero a cierta dirección de correo electrónico utilizando su propio motor SMTP (Simple Mail Transfer Protocol).
También es capaz de detener la ejecución de los siguientes procesos, relativos a programas de seguridad y antivirus:
PasswordGuard.exe
RAVMON.exe
ZoneAlarm
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
Trojan.W32/Lineage.B está escrito con Borland Delphi.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4472
