Autor Tema: 9 de julio, virus  (Leído 2439 veces)

Desconectado Danae

  • Iniciado
  • *****
  • Mensajes: 3211
  • Casi siempre en el armario.
    • windowsfacil,  primeros pasos con windows y el pc
9 de julio, virus
« en: 09 de Julio de 2004, 06:58:24 pm »
VBS/Gaggle.F. y Gaggle.E, Datos adjuntos: "filezip.zip"
Nombre: VBS/Gaggle.F
Tipo: Gusano de Internet y virus
Alias: Gaggle.F, Gaggle.E, VBS.Gaggle.E@mm, I-Worm.Gedza, VBS/Gedza.A
Plataforma: Windows 32-bits
Fecha: 9/jul/04
Tamaño: (varios) 260 Kb, 30,721 bytes, 17,409 bytes
Reportado por: Symantec (como VBS.Gaggle.E@mm)
Estos gusanos se propagan a través del correo electrónico, del IRC utilizando el mIRC, del ICQ y también a través de algunas redes P2P

Cuando se ejecutan, crean las siguientes copias de si mismo:
c:\windows\system\backup.vbs
c:\windows\system\file.vbs
c:\windows\system\filezip.zip
c:\windows\system\gedzac.vbs
c:\windows\system\israfel.vbs
c:\windows\system\kernel32.win
c:\windows\system\mouse_configurator.win
c:\windows\system\pubprn.vbs
c:\windows\system\template.htm
c:\windows\system\winmgd.win
El archivo .HTM contiene el gusano embebido en su código, y el archivo .ZIP lo contiene comprimido dentro de él.

También crea los siguientes archivos:
c:\estigma.hta
c:\windows\system\avrillavigne.jpg
c:\windows\system\iw.dat
c:\windows\system\iwn.dat
c:\windows\system\ix.dat
c:\windows\system\ixn.dat
c:\windows\system\pkzip.exe
c:\windows\system\regsrv.exe
c:\windows\system\sendi.exe
En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

También copia el archivo COMMAND.COM o CMD.EXE de Windows (según el sistema operativo), a todos los discos duros, con el nombre ISRAFEL.EXE, en la siguiente ubicación:
\inetpub\scripts\israfel.exe
Crea el archivo IISROOT.ASP en las siguientes carpetas y subcarpetas:
\inetpub\wwwroot\iisroot.asp
Crea tambien entradas en el registro de Windows para auto ejecutarse en cada reinicio del sistema:
Mas información: http://www.vsantivirus.com/gaggle-f.htm

Berbew.H
Es un troyano que intenta robar claves guardadas en el ordenador y puede mostrar falsas ventanas para capturar información confidencial.  
Nombre completo: Trojan.W32/Berbew.H    
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Windows 2000, Windows 64-bit (AMD64), Windows 64-bit (IA64), Windows 95, Windows 98, Windows Me, Win
Tamaño (bytes): 46592
Alias:Backdoor.Berbew.H (Symantec)

Desinfección:
Abra el Administrador de tareas (presione Control+Mayúsculas+Esc).
En la clave del registro:
  HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
borre los valores:
      "(Default)" = "%System%/<8 random characters>.dll"
      "ThreadingModel" = "Apartment"
En la clave:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Borre el valor:
      "Web Event Logger" =  "{79FEACFF-FFCE-815E-A900-316290B5B738}"
En la clave
      HKEY_CURRENT_USER\Software\Microsoft
Borre el valor:
      "QueenKarton" = 0xc

Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
Más información: http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4064

Desconectado Danae

  • Iniciado
  • *****
  • Mensajes: 3211
  • Casi siempre en el armario.
    • windowsfacil,  primeros pasos con windows y el pc
9 de julio, virus
« Respuesta #1 en: 09 de Julio de 2004, 10:52:40 pm »
W32/Lemoor.A. Utiliza infecciones del gusano Sasser
 Nombre: W32/Lemoor.A
Tipo: Gusano de Internet Caballo de Troya de acceso remoto
Alias: Lemoor, Win32/Lemoor.A, Worm.Win32.Lemoor.a
Fecha: 9/jul/04
Plataforma: Windows 32-bit
Tamaño: 1,985 bytes (FSG)
Reportado por: Kaspersky Labs
Gusano escrito en assembler y comprimido con la herramienta FSG, que utiliza para propagarse, los equipos que han sido infectados con el gusano Sasser y que no han sido desinfectados.
El gusano envía peticiones al puerto TCP/5554. En los equipos infectados por el Sasser, dicho puerto contiene un servidor FTP, y es creado por este último con el propósito de permitir la descarga de dicho gusano en otros sistemas que así también son infectados.
Cuando el Lemoor detecta un sistema previamente infectado con el Sasser, entonces se vale de una vulnerabilidad en dicho componente FTP, provocando un desbordamiento de búfer con posterior ejecución de código, para crear un shell (consola de comandos), a través del cuál se descarga y luego ejecuta.
Esta vulnerabilidad es el único mecanismo que utiliza el gusano "Lemoor" para propagarse. No posee ninguna rutina destructiva que afecte los equipos infectados por él.
Cuando se ejecuta, crea la siguiente entrada en el registro para autoejecutarse en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[Ephemeral 2.4] by TreeHugger, = [archivo]
Donde [archivo] es el nombre y camino del ejecutable del gusano.
Más información: http://www.vsantivirus.com/lemoor-a.htm

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License