Está en la página 1de 105

PROGRAMAS MALICIOSOS I. Gusanos de red a. Gusanos de correo electrnico 1. Email-Worm.JS.

CoolNow

Alias

Email-Worm.JS.CoolNow (Kaspersky Lab) Tambin conocido como: I-Worm.CoolNow (Kaspersky Lab), JS/Exploit-Messenger.gen (NAI), JS.Menger.Worm (NAV), JS/CoolnowB (Sophos), JS/Coolnow* (RAV), JS_MENGER.GEN (PCCIL), JSc/CoolNow.4 (H+BEDV), JS/Coolnow.A @mm (FPROT), VBS:CoolNow (AVAST), JS/Coolnow.A (AVG), JS.Coolnow.A (BitDef7), JS/Coolnow (Pa nda), JS/Coolnow.A (Nod32)

Descripcin agregada 10 jul 2006

Comportamiento

I-Worm

Detalles tcnicos

ste virus es un gusano que se propaga por Internet usando MSN Messenger (instant messaging program). El gusano en s mismo es un JS-script (Java Script) situada en un archivo HTML. Enva los mensajes que contienen una direccin URL hacia una pgina Web infectada. Cuando el gusano es ejecutado, obtiene la lista de contactos del MSN Messenger, enviando a todos sus destinatarios el siguiente mensaje: "URGENT - Go to http://www.rjdesigns.co.uk/cool Now" Esta direccin apunta hacia un archivo HTML, que contiene el cuerpo del gusano. Despus de enviar los mensajes infectados por correo electrnico, el gusano utiliza un script ubicado en el mismo sitio para enviar un mensaje de correo-e a: "jonathansmith288@hotmail.COM. Este mensaje contiene la direccin IP del ordenador infectado, y remite al usuario a la siguiente direccin: "http://www.rjdesigns.co.uk/cool/go.htm" Hecho esto, el gusano no tiene ninguna carga til.

2. Email-Worm.JS.Gigger

Alias

Email-Worm.JS.Gigger (Kaspersky Lab) Tambin conocido como: I-Worm.Gigger (Kaspersky Lab), JS/Gigger.a@MM (NAI), JS.Gigger.A@mm (NAV), JS.Gigger (DrWeb), JS/Gigger.A@mm* (RAV), JS_GI GGER.A (PCCIL), VBS:Gigger (AVAST), JS.Gigger.A (BitDef7)

Descripcin agregada 10 jul 2006

Comportamiento

I-Worm

Detalles tcnicos

ste es un gusano peligroso. Se reproduce utilizando Outlook, Outlook Express y mIRC. Este gusano se escribe en JavaScript y en Visual Basic Script (VBS). Contiene secuencias destructivas capaces de formatear el disco duro del usuario despus de reiniciarse, puede suprimir todos los archivos en todos los discos disponibles.

Instalacin
Mientras el gusano se instala en el sistema, inserta varios archivos: C:\Bla.hta C:\B.htm C:\Windows\Samples\Wsh\Charts.js C:\Windows\Help\Mmsn_offline.htm El gusano busca el mensaje already infected en el registro, si no existe, el gusano lo crea. La presencia de la infeccin se muestra en el siguiente registro: HKEY_CURRENT_USER\Software\thegrave\badusers\v2.0 El gusano busca todos los discos conectados al network copindose en ellos en la siguiente ubicacin: Windows\Start Menu\Programs\StartUp\Msoe.hta

Propagacin por correo electrnico


El gusano usa Outlook y Outlook Express para extenderse mandando mensajes infectados por correo electrnico. El mensaje infectado tiene las siguientes caractersticas: Subject: Outlook Express Update Body: MSNSoftware Co. Attachment: mmsn_offline.htm

El gusano tambin enva un mensaje que contiene las direcciones de correo-e de sus destinatarios a una direccin de correo electrnico que parece pertenecer al autor del gusano.

Propagacin por IRC


El gusano descubre la carpeta de instalacin de la aplicacin mIRC de un usuario, creando all el archivo "script.ini". Despus de esto, el gusano se re-enva a s mismo a cada uno de los usuarios conectados en el mismo canal del IRC que el cliente infectado. Nombre del archivo enviado a travs del mIRC: "mmsn_offline.htm

Contenido
El gusano agrega la lnea siguiente en el archivo Autoexec.bat: ECHO y|format c: El resultado se ver al reiniciarse la unidad C: formateada En los das 1ro, 5to, 10mo, 15vo o 20vo del mes, el gusano borra todos los archivos de todos los discos disponibles.

3. Email-Worm.JS.Nevezed

Alias

Email-Worm.JS.Nevezed (Kaspersky Lab) Tambin conocido como: I-Worm.Nevezed (Kaspersky Lab), JS/Nevezed@MM (NAI), JS.Reven@mm (NAV), JS/GorumA (Sophos), JS/Reven.gen* (RAV), JS_VEREN.A (PCCIL), JS/Neversaw (H+BEDV), JS/Never.A@mm (F PROT), VBS:GenericMail (AVAST), JS/Never (AVG), JS.Nevezed.A@mm (BitDef7), Worm.Nevezed (Clamav), Worm Generic (Panda)

Descripcin agregada 10 jul 2006

Comportamiento

I-Worm

Detalles tcnicos

Nevezed es un virus que se propaga por Microsoft Outlook. Este gusano es un archivo JavaScript de 4KB de tamao, escrito en Java.

Instalacin
Durante la instalacin, el gusano se copia dentro del sistema de Windows en el directorio de arranque (StartUp) con el nombre "StartUp.js" y en el directorio de Windows System con el nombre de "CmdWsh32.js. Estos se insertan ms tarde en el registro del sistema como un archivo java-class. El gusano tambin crea una copia de seguridad de s mismo en el directorio raz de otros discos.

Propagacin por correo electrnico


Para enviar mensajes infectados el gusano utiliza el MS Outlook. Manda correos a todas las direcciones que encontr en la libreta de direcciones de la vctima. Los mensajes infectados enviados por el gusano tienen varios ttulos en Asunto del mensaje. Algunos podran ser: Hello name Hey name Fwd: Hey You! Fwd: Check this! Fwd: Just Look Fwd: Take a look! Fwd: Loop at this! Fwd: Check this out! Fwd: It's Free! Fwd: Look! Fwd: Free Mp3s! Fwd: Here you go! Fwd: Have a look! Look name! Fwd: Read This! Texto del cuerpo de mensaje: Hello! Check out this great list of mp3 sites that I included in the attachments! I can get any Mp3 file that I want from these sites, and its free! And please don't be greedy! forward this email to all the people that you consider friends, and Let them benefit from these Mp3 sites aswell! Enjoy ! Los mensajes infectados contienen alguno de los siguientes archivos adjuntos: Free_Mp3s.js Fwd_Mp3s.js Mp3_Sites.js Mp3_Web.js Mp3_List.js Mp3_Pages.js Web_Mp3s.js Mp3-Sites.js Fwd-Mp3s.js Mp3-Fwd.js Fwd-Sites.js

4. Email-Worm.Win32.Chet.a

Alias

Email-Worm.Win32.Chet.a (Kaspersky Lab) Tambin conocido como: I-Worm.Chet.a (Kaspersky Lab), W32/Chet.a@MM (NAI), W32.Chet@mm (NAV), Win32.HLLM.Otchet.26628 (DrWeb), W32/ChetA (Sophos), Win32/Chet.A@mm (RAV), WORM_CHET.A (PCCIL), Worm/Chet (H+BEDV), W32/Chet@m m (FPROT), Win32:Chet (AVAST), IWorm/Chet.A (AVG), Win32.Chet.A@mm (BitDef7), W32/Chet@MM (Panda), Win32/Chet.A (Nod32)

Descripcin agregada 10 jul 2006

Comportamiento

I-Worm

Detalles tcnicos

ste gusano es un virus que se difunde por Internet mediante un archivo adjunto a los correo electrnicos infectados. Es un archivo de Windows PE EXE de 27Kb de la tamao, escrito en Microsoft Visual C++. Los mensajes Infectados tienen los siguientes campos: From: main@world.com To: You Subject: All people!! Attach: 11september.exe Body:

El gusano se activa en caso de que un usuario haga clic en el archivo adjunto. Despus el gusano se instala en el sistema y ejecuta su secuencia propagndose.

Instalacin
Se copia en el directorio del sistema de Windows con el nombre "synchost1.exe" y coloca ese archivo en el registro del sistema de autoarranque: HKCU\Software\Microsoft\Windows\CurrentVersion\Run ICQ1 = %SystemDir%\synchost1.exe El archivo original entonces es eliminado.

Difusin
Para conseguir el correo de la vctima, el gusano se conecta con el MS Outlook y enva mensajes a todas las direcciones encontrada en la libreta de direcciones del Outlook. Tambin consigue archivos WAB y lee los correos de la victima desde all. Para enviar mensajes infectados el gusano utiliza una conexin directa "mail.ru" al servidor SMTP.

Otro
El gusano tambin enva dos mensajes de notificacin a este master". La primera notificacin es enviada antes de propagarse (vase arriba), el segundo mensaje se enva enseguida despus de ejecutarse la rutina. Estos dos mensajes se envan a tres direcciones: connectionICQ@mail.ru Icq_Premium@mail.ru PremiumServ@mail.ru Tienen los siguientes Asunto del mensaje: message1: Otchet from user message2: Otchet2 from user El cuerpo de mensaje contiene la lista de correos de la vctima y el nombre completo del archivo ejecutable del gusano.

5. Email-Worm.Win32.Warezov.nf
Otras versiones: .at, .bw, .do, .et, .jv, .lb, .ms, .nv, .on, .op, .qa

Deteccin agregada

19 abr 2007 04:17 GMT

Actualizacin lanzada 19 abr 2007 04:40 GMT

Descripcin agregada 19 abr 2007

Comportamiento

I-Worm

Plataforma

Win32

Detalles tcnicos Daos Instrucciones de eliminacin

Detalles tcnicos

Es un virus-gusano que se propaga por Internet en los datos adjuntos de los mensajes de correo infectados. En los datos adjuntos el gusano no pone su copia, sino un componente que puede cargar de Internet otros programas nocivos. Los mensajes infectados se envan a todas las direcciones de correo electrnico encontradas en el ordenador. El gusano es una aplicacin Windows (archivo PE EXE). Est comprimido con Upack. El tamao de los componentes del gusano puede ser de 20 a 135 kilobytes.

Instalacin
Durante su inicio, el gusano muestra el siguiente texto en la pantalla:

Al ejecutarse, el virus copia su archivo ejecutable al catlogo del sistema de Windows bajo el nombre:

%System%\hotpmsta.exe
Y crea los siguientes archivos:

%System%\hotpmsta.dll %System%\hotpmsta.dat
Adems, el troyano crea la siguiente llave en el registro del sistema:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hotpmsta] "DllName" = "%System%\hotpmsta.dll" "Startup" = "WlxStartupEvent" "Shutdown" = "WlxShutdownEvent" "Impersonate" = dword:00000000 "Asynchronous" = dword:00000000

Propagacin por correo electrnico


Analiza las libretas de direcciones de Microsoft Windows buscando las direcciones de las vctimas. Para enviar los mensajes infectados, el gusano usa su propia biblioteca SMTP. Ejemplo de carta infectada:

En los datos adjuntos el gusano no pone su copia, sino un componente que puede cargar de Internet otros programas nocivos.

Daos

Acciones del mdulo principal del gusano


Termina los procesos, detiene y elimina los servicios de los programas antivirus y los cortafuegos personales. El fichero ejecutable principal del gusano descarga de los sitios de los delincuentes diferentes programas nocivos y los instala en el sistema del usuario.

Acciones del componente enviado por correo


Este componente lo enva el mdulo principal del gusano. Su funcin es descargar de Internet otros ficheros sin que el usuario se d cuenta. Descarga un archivo de la siguiente direccin:

http://linktunhdesa.com/***32.exe
En el momento en que escribamos esta descripcin, en la direccin indicada se encontraba la ltima versin del fichero ejecutable del gusano. El fichero descargado se guarda en el directorio temporal de Windows bajo un nombre tambin temporal y se lo ejecuta.

Instrucciones de eliminacin

Deteccin. El procedimiento de deteccin de esta versin del gusano ha sido publicado en una actualizacin urgente de la base de datos de Kaspersky Anti-Virus. Si la defensa proactiva de Kaspersky Anti-Virus 6.0 est habilitada, es capaz de detectar este gusano y evitar sus acciones destructivas sin necesidad de las actualizaciones de la base antivirus. Si su ordenador no contaba con la proteccin de un antivirus y se contagi con la nueva versin de este programa nocivo, sigua las siguientes instrucciones para eliminarlo: 1. Abrir el Administrador de Tareas y terminar el proceso original del gusano.

2. 3.

Eliminar el archivo original de la puerta trasera (su ubicacin en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador). Eliminar manualmente los siguientes ficheros del catlogo del sistema de Windows:

4. %System%\hotpmsta.exe 5. %System%\hotpmsta.dll %System%\hotpmsta.dat


6. Eliminar la llave del registro:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hotpmsta]
7. 8. Eliminar todas las cartas infectadas de todos los directorios de correo. Hacer un anlisis completo del ordenador usando Kaspersky Anti-Virus con las ltimas actualizaciones de sus bases antivirus (Descargar versin de prueba).

6. Email-Worm.Win32.NetSky.aa
Otras versiones: .b, .q, .t, .x, .y

Alias

Email-Worm.Win32.NetSky.aa (Kaspersky Lab) Tambin conocido como: W32/Netsky.z@MM (NAI), W32.Netsky.Z@mm (NAV), Win32.HLLM.Netsky.22016 (DrWeb), W32/NetskyAE (Sophos), Win32/Netsky.Z@mm (RAV), WORM_NETSKY.Z (PCCIL), Worm/NetSky.AA (H+BEDV), W32/Netsky.AK@mm (FPROT), IWorm/Netsky.Z (AVG), Win32.Netsky.AA@mm (BitDef7), Worm.SomeFool.AA2 (Clamav), W32/Netsky.Z.worm (Panda), Win32/Netsky.Z (Nod32)

Deteccin agregada

03 dic 2004

Descripcin agregada 07 jul 2006

Comportamiento

I-Worm

Detalles tcnicos

Este gusano se propaga va Internet como archivo adjunto a los mensajes de correo electrnico infectados.

Posee una funcin de puerta trasera (backdoor), y es capaz de conducir ataques de Denegacin de Servicios (DoS) contra sitios de Internet. El gusano en s mismo es un archivo PE EXE de aproximadamente 20KB, comprimido usando UPX.

Instalacin
El gusano se copia a s mismo en el directorio de Windows bajo el nombre de Jammer2nd.exe, inscribe el siguiente archivo en el registro del sistema como archivo auto-ejecutable:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Jammer2nd"="%windir%\jammer2nd.exe"
Tambin crea los archivos PK_ZIP_ALG.LOG y PK_ZIP.LOG en el directorio de Windows. Estos archivos son copias del gusano en formato UUE y en un archivo ZIP. El gusano crea el mutex (S)(k)(y)(N)(e)(t) para sealar su presencia en el sistema.

Propagacin por correo electrnico


El gusano busca archivos con las siguientes extensiones en todos los discos accesibles de la red: :

adb asp cfg cgi dbx dhtm doc eml htm html jsp

mbx mdx mht mmf msg nch ods oft php pl ppt

rtf sht shtm stm tbb txt uin vbs wab wsh xls

recolecta las direcciones de correo electrnico, enviando una copia de s mismo a todas las direcciones encontradas. El gusano utiliza su propia biblioteca SMTP para enviar mensajes, y procura establecer una conexin al servidor que recibe los mensajes infectados.

Caractersticas de los mensajes infectados.


Los archivos infectados se generan al azar de la siguiente manera:

Direccin del remitente.


Es elegida al azar de las direcciones que encontr en la mquina de la vctima.

Encabezamiento del mensaje (elegido al azar de la lista de abajo)


Hello Hi Important Important bill! Important data! Important details! Important document! Important informations! Important notice! Important textfile! Important! Information Information

Archivo adjunto (elegido al azar de la lista de abajo)


Bill.zip Data.zip Details.zip Important.zip Informations.zip Notice.zip Part-2.zip Textfile.zip
Los archivos adjuntos tendrn un nombre de la lista de abajo

Bill.txt.exe Data.txt.exe Details.txt.exe Important.txt.exe Informations.txt.exe Notice.txt.exe Part-2.txt.exe Textfile.txt.exe

Otros
El virus abre el puerto 665 del TCP en la mquina de la vctima para recibir archivos al azar y ejecutarlos. Dependiendo de los ajustes del reloj del sistema, el gusano puede conducir ataques de Denegacin de Servicio (DoS) contra los siguientes sitios

www.educa.ch www.medinfo.ufl.edu www.nibis.de

7. Email-Worm.Win32.NetSky.q
Otras versiones: .aa, .b, .t, .x, .y

Alias

Email-Worm.Win32.NetSky.q (Kaspersky Lab) Tambin conocido como: I-Worm.NetSky.q (Kaspersky Lab), W32/Netsky.ad@MM (NAI), W32.Netsky.P@mm (NAV), Win32.HLLM.Netsky.based (DrWeb), W32/Netsky P (Sophos), Win32/Netsky.P@mm (RAV), WORM_NETSKY.P (PCCIL), Worm/NetSky.P.2 (H+BEDV), W 32/Netsky.P@mm (FPROT), Win32:Netsky-P (AVAST), IWorm/Netsky.Q (AVG), Win32.Netsky.P@mm (BitDef7), Worm.SomeFool.Pdll (Clamav), W32/Netsky.P.worm (Panda), Win32/Netsky.Q (Nod32)

Descripcin agregada 30 jun 2006

Comportamiento

I-Worm

Detalles tcnicos

Este gusano se propaga a travs de Internet como un archivo adjunto a los mensajes infectados. Tambin puede propagarse a traves de redes P2P y directorios http y ftp accesibles. El componente principal del gusano es un archivo PE EXE de aproximadamente 29KB. El gusano se empaqueta usando FSG; el archivo sin empaquetar es de aproximadamente 40KB de tamao.

Instalacin
El gusano se copia al directorio de Windows bajo el nombre fvprotect.exe y registra este archivo en los cdigos de registrosla seccin de autoejecucin del sistema:

[ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Norton Antivirus AV" = %windir\fvprotect.exe


El gusano tambin crea un archivo llamado userconfig9x.dll el el directorio de Windows, y otros archivos con los siguientes nombres:

zipped.tmp base64.tmp zip1.tmp zip2.tmp zip3.tmp


Estos archivos son copias del gusano en formato UEE y archivos ZIP que contienen copias del gusano. Los archivos dentro del archivo ZIP tendrn nombres elegidos de la siguiente lista:

document.txt.exe data.rtf.scr details.txt.pif


El gusano crea un mutex (candado), ""_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_", para sealar su presencia en el sistema.

Propagacin por correo-ecorreo electrnico


El gusano busca archivos con cualquiera de las siguientes extensiones:

.eml .txt .php

.asp .wab .doc .vbs .rtf .uin .shtm .cgi .dhtm .pl .htm .html .adb .tbb .dbx .sht .oft .msg .jsp .wsh .xml
y enva copias de s mismo a las direcciones de correo electrnico recolectadas de estos archivos. El gusano usa su propia biblioteca SMPT para enviar mensajes. El gusano tambin intenta establecer una conexin directa con el servidor del receptor destinatario del mensaje.

Mensajes Infectados:
Los mensajes infectados contienen combinaciones al azar de las opciones listadas debajo:

Direccin del emisor:


Elegida al azar de aquellas recolectadas por el equipo infectado.

Asunto del mensaje:


Re: Hi Re: Hello Re: Encrypted Mail Re: Extended Mail Re: Status Re: Notify Re: SMTP Server Re: Mail Server Re: Delivery Server Re: Request Re: Bad Request Re: Failure Re: Thank you for delivery Re: Test Re: Administration Re: Message Error Re: Error Re: Extended Mail System Re: Secure SMTP Message Re: Protected Mail Request Re: Protected Mail System Re: Protected Mail Delivery Re: Secure delivery Re: Delivery Protection Re: Mail Authentification Re: List Re: Question Re: Proof of concept Re: Developement

Re: Message Re: Error in document Re: Free porn Re: Sex pictures Re: Submit a Virus Sample Re: Virus Sample Re: Old times Re: Old photos Re: Sample Re: Its me Re: Is that your document? Re: Approved document Re: Your document Protected Mail System Mail Authentication Is that your password? Private document Stolen document Mail Account Administrator Illegal Website Internet Provider Abuse Thank you! Congratulations! Postcard Your day Mail Delivery Error Shocking document You cannot do that!

hi hello Fwd: Warning again Notice again Spamed? Spam 0i09u5rug08r89589gjrg Re: A!p$ghsa Important m$6h?3p Do you? Does it matter? News Information I love you! I cannot forget you! here your my thanks! approved corrected patched improved important read it immediately
o una lista de caracteres al azar

Cuerpo del mensaje:


Please see the attached file for details Please read the attached file!

Your document is attached. Please read the document. Your file is attached. Your document is attached. Please confirm the document. Please read the important document. See the file. Requested file. Authentication required. Your document is attached to this mail. I have attached your document. I have received your document. The corrected document is attached. Your document. Your details. Please confirm! Please answer quickly! Thank you for your request, your details are attached! Thanks! am shocked about your document! Let'us be short: you have no experience in writing letters!!! Try this, or nothing! Here is it! Do not visit this illegal websites! You have downloaded these illegal cracks? Here is my icq list. Here is my phone number. I have visited this website and I found you in the spammer list. Is that true? Are you a spammer? (I found your email on a spammer website!?!) po44u90ugjid-k9z5894z0

9u049u89gh89fsdpokofkdpbm3-4i Please r564g!he4a56a3haafdogu#mfn3o SMTP Error #201 See the ghg5%&6gfz65!4Hf55d!46gfgf Server Error #203 Your photo, uahhh.... , you are naked! You have written a very good text, excellent, good work! Your archive is attached. Monthly news report. lovely, :-) your big love, ;-) I hope you accept the result! The sample is attached! Your important document, correction is finished! Important message, do not show this anyone! Here is the website. ;-) My favourite page. I have corrected your document. I have attached the sample. Your bill is attached to this mail. You were registered to the pay system. For more details see the attachment. Binary message is available. Message has been sent as a binary attachment. Can you confirm it? I have attached it to this mail. Please read the attached file. Your document is attached. Encrypted message is available. Protected message is attached.

Please confirm my request. ESMTP [Secure Mail System #334]: Partial message is available. Waiting for a Response. Please read the attachment. First part of the secure mail is available. For more details see the attachment. For further details see the attachment. Your requested mail has been attached. Protected Mail System Test. Secure Mail System Beta Test. Forwarded message is available. Delivered message is attached. Encrypted message is available. Please read the attachment to get the message. Follow the instructions to read the message. Please authenticate the secure message. Protected message is attached. Waiting for authentification. Protected message is available. Bad Gateway: The message has been attached. SMTP: Please confirm the attached message. You got a new message. Now a new message is available. New message is available. You have received an extended message. Please read the instructions. I noticed that you have visited illegal websites. See the name in the list! Secure message is attached.

You have visited illegal websites.

I have a big list of the websites you surfed.

Your mail account is expired. See the details to reactivate it.

Your mail account has been closed. For further details see the document.

The file is protected with the password ghj001. I have attached your file. Your password is jkl44563.

The sample file you sent contains a new virus version of mydoom.j. Please clean your system with the attached signature. Sincerly, Robert Ferrew

Greetings from france, your friend. Have a look at these.

Best wishes, your friend.

Congratulations!, your best friend.

I found this document about you. I cannot believe that.

Try this game ;-) I hope the patch works.


Al final del mensaje podra incluirse informacin falsa de que el mensaje ha sido examinado y declarado limpio por un programa antivirus:

+++ Attachment: No Virus found +++ MessageLabs AntiVirus - www.messagelabs.com

+++ Attachment: No Virus found +++ Bitdefender AntiVirus - www.bitdefender.com

+++ Attachment: No Virus found +++ MC-Afee AntiVirus - www.mcafee.com

+++ Attachment: No Virus found +++ Kaspersky AntiVirus - www.kaspersky.com

+++ Attachment: No Virus found +++ Panda AntiVirus - www.pandasoftware.com

++++ Attachment: No Virus found ++++ Norman AntiVirus - www.norman.com

++++ Attachment: No Virus found ++++ F-Secure AntiVirus - www.f-secure.com

++++ Attachment: No Virus found ++++ Norton AntiVirus - www.symantec.de


Hay una gran variedad de posibles nombres para los archivos adjuntos. El archivo adjunto usualmente tiene una extensin doble, siendo la primera extensin .doc o .txt, y la segunda una de la lista siguiente:

exe pif scr zip

El gusano tambin puede enviarse como un archivo ZIP.

El gusano no se enva a direcciones que contengan:

@antivi @avp @bitdefender @fbi @f-pro @freeav @f-secur @kaspersky @mcafee @messagel @microsof @norman @norton

@pandasof @skynet @sophos @spam @symantec @viruslis abuse@ noreply@ ntivir reports@ spam

El gusano podra puede enviar mensajes que contengan el IFRAME Exploit, de la misma manera que lo hicieron Klez.h y Swen. Cuando esto sucedeEn este caso, si el mensaje es visto porvisualizado en un cliente de correo electrnico vulnerable, el archivo que contiene al el gusano se ejecutar automticamente.

Propagacin por P2P


El gusano crea mltiples copias de s mismo en todos los subdirectorios que contengan cualquiera de las palabras de la siguiente lista:

bear donkey

download ftp htdocs http icq kazaa lime morpheus mule my shared folder shar shared files upload

Los archivos creados por el gusano tendrn recibirn nombres elegidos de la siguiente lista:

Kazaa Lite 4.0 new.exe Britney Spears Sexy archive.doc.exe Kazaa new.exe Britney Spears porn.jpg.exe Harry Potter all e.book.doc.exe Britney sex xxx.jpg.exe Harry Potter 1-6 book.txt.exe Britney Spears blowjob.jpg.exe Harry Potter e book.doc.exe Britney Spears cumshot.jpg.exe Harry Potter.doc.exe

Britney Spears fuck.jpg.exe Harry Potter game.exe Britney Spears.jpg.exe Harry Potter 5.mpg.exe Britney Spears and Eminem porn.jpg.exe Matrix.mpg.exe Britney Spears Song text archive.doc.exe Britney Spears full album.mp3.exe Eminem.mp3.exe Britney Spears.mp3.exe Eminem Song text archive.doc.exe Eminem Sexy archive.doc.exe Eminem full album.mp3.exe Eminem Spears porn.jpg.exe Ringtones.mp3.exe Eminem sex xxx.jpg.exe Ringtones.doc.exe Eminem blowjob.jpg.exe Altkins Diet.doc.exe Eminem Poster.jpg.exe American Idol.doc.exe Cloning.doc.exe Saddam Hussein.jpg.exe Arnold Schwarzenegger.jpg.exe Windows 2003 crack.exe Windows XP crack.exe Adobe Photoshop 10 crack.exe Microsoft WinXP Crack full.exe Teen Porn 15.jpg.pif Adobe Premiere 10.exe

Adobe Photoshop 10 full.exe Best Matrix Screensaver new.scr Porno Screensaver britney.scr Dark Angels new.pif XXX hardcore pics.jpg.exe Microsoft Office 2003 Crack best.exe Serials edition.txt.exe Screensaver2.scr Full album all.mp3.pif Ahead Nero 8.exe netsky source code.scr E-Book Archive2.rtf.exe Doom 3 release 2.exe How to hack new.doc.exe Learn Programming 2004.doc.exe WinXP eBook newest.doc.exe Win Longhorn re.exe Dictionary English 2004 - France.doc.exe RFC compilation.doc.exe 1001 Sex and more.rtf.exe 3D Studio Max 6 3dsmax.exe Keygen 4 all new.exe Windows 2000 Sourcecode.doc.exe Norton Antivirus 2005 beta.exe Gimp 1.8 Full with Key.exe Partitionsmagic 10 beta.exe Star Office 9.exe Magix Video Deluxe 5 beta.exe Clone DVD 6.exe MS Service Pack 6.exe

ACDSee 10.exe Visual Studio Net Crack all.exe Cracks & Warez Archiv.exe WinAmp 13 full.exe DivX 8.0 final.exe Opera 11.exe Internet Explorer 9 setup.exe Smashing the stack full.rtf.exe Ulead Keygen 2004.exe Lightwave 9 Update.exe The Sims 4 beta.exe

Otros
Si el gusano encuentra las los cdigosclaves listadas debajode la siguiente lista en el registro del sistema [HKLM\SOFTWARE\Microsoft\Windows\CurrentVer sion\Run]

las eliminar. Explorer system. msgsvr32 winupd.exe direct.exe jijbl service Sentry au.exe

direct.exe d3dupdate.exe OLE gouday.exe rate.exe Taskmon Windows Services Host sysmon.exe srate.exe ssate.exe winupd.exe

Tambin eliminar los cdigoslas claves system. Video de la seccin HKLM\SOFTWARE\Microsoft\Windows\C urrentVersion\RunServices

Y los siguientes componentes de los cdigosvalores de las claves, creadas por I-Worm.Bagle. HKLM\SYSTEM\CurrentControlSet\Ser vices\WksPatch HKCU\SOFTWARE\Microsoft\Windows\C urrentVersion\Explorer\PINF HKCR\CLSID\CLSID\{E6FB5E20-DE3511CF-9C8700AA005127ED}\InProcServer32

b. IM Worms (gusanos de mensajes instantneos)

1. Wa

IM-Worm.Win32.Bropia.aj
Otras versiones: .ad

Alias

IM-Worm.Win32.Bropia.aj (Kaspersky Lab) Tambin conocido como: IM-Worm.Win32.VB.e (Kaspersky Lab),

Deteccin agregada

04 feb 2005

Descripcin agregada 30 jun 2006

Comportamiento

IM-Worm

Detalles tcnicos

Este gusano se propaga a travs de Internet usando MSN Messenger. Est escrito en Visual Basic y es de aproximadamente 200 KB de tamao. El gusano contiene un programa backdoor, el Backdoor.Win32.Rbot.hg que mismo para ser descomprime e instala en el equipo de la vctima.

Instalacin
Una vez ejecutado, el gusano se copia al directorio raz (como regla, C:\) bajo uno de los siguientes nombres:

bedroom-thongs.pif Hot.pif LMAO.pif LOL.scr naked_drunk.pif new_webcam.pif ROFL.pif underware.pif Webcam.pif

Tambin el gusano se copia al directorio del sistema de Windows como "msnus.exe":

%System%\msnus.exe
El gusano busca los siguientes archivos:

dnsserv.exe winhost.exe winis.exe

Si no los encuentra, IM-Worm.Win32.VB.e baja el archivo "cz.exe" y lo ejecuta. Este archivo es una puerta trasera. Kaspersky Anti-Virus detectar este componente como Backdoor.Win32.Rbot.hg. Cuando "cz.exe" se ejecuta, se copia en el directorio del sistema de Windows como "winhost.exe". Luego se registra en el registro del sistema:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKCU\Software\Microsoft\OLE] "win32" = "winhost.exe"


El gusano tambin crea el archivo "sexy.jpg" en el directorio raz y lo abre, mostrando la siguiente imagen:

Propagacin por MSN


Cuando se ejecuta, el gusano obtiene acceso a la lista de contactos de MSN Messenger y se enva a todos los contactos bajo uno de los nombres mencionados anteriormente.

Daos
El gusano cambia los niveles de volumen a cero.

2. Dsa

IM-Worm.Win32.Bropia.ad
Otras versiones: .aj

Alias

IM-Worm.Win32.Bropia.ad (Kaspersky Lab) Tambin conocido como: W32/Kelvir.worm.gen (NAI), W32.Kelvir (NAV), Win32.HLLW.Bropia (DrWeb), W32/BropiaW (Sophos), WORM_BROPIA.W (PCCIL), Worm/Bropia.AD (H+BEDV), W32/Bropia.AC (FPROT), Worm/ Kelvir.2.K (AVG), Win32.Worm.Bropia.U (BitDef7), W32/Bropia.AP.worm (Panda), Win32/Kelvir.BR (Nod32 )

Deteccin agregada

20 may 2005 22:15 GMT

Descripcin agregada 30 jun 2006

Comportamiento

IM-Worm

Detalles tcnicos

Este gusano est escrito en Visual Basic y normalmente tiene dos componentes: el gusano de Mensajes Instantneos en s, y una variante de Backdoor.Win32.Rbot incluida en el archivo. El backdoor se empaqueta usualmente con UPX y Morphine. Ser detectado como Backdoor.Win32.Rbot.gen. El gusano es de 188,416 bytes de tamao. La puerta trasera que est incluida en el archivo del gusano es de 86,528 bytes de tamao cuando est empaquetada, y de aproximadamente 1.23MB cuando no lo est.

Instalacin
Este gusano llegar probablemente en un fichero descargado de P2P o como un link por MSN Messenger. Al ser ejecutado, el gusano se copia al directorio del sistema como msnadp32.exe. Tambin se copia al directorio compartido de varias aplicaciones de P2P. La puerta trasera tambin se queda en C:\tmpdata como ImSexy.exe. Una vez ejecutado, se convierte en %sysdir%\pwmgr.exe y elimina ImSexy.exe. El gusano aade una clave al registro para asegurarse de ser ejecutado cuando se inicie Windows.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R un] MSN Administration For Windows="msnadp32.exe"


El backdoor tambin aade claves al registro para asegurarse de ser ejecutado cuando se inicie Windows.

[HKEY_USERS\S-1-5-21-1482476501-162531612-8395221151003\Software\Microsoft\OLE] WinPWD Manager="pwmgr.exe" [HKEY_USERS\S-1-5-21-1482476501-162531612-8395221151003\Software\Microsoft\Windows\CurrentVersion\Run] WinPWD Manager="pwmgr.exe" [HKEY_USERS\S-1-5-21-1482476501-162531612-8395221151003\Software\Microsoft\Windows\CurrentVersion\RunServices] WinPWD Manager="pwmgr.exe" [HKEY_USERS\S-1-5-21-1482476501-162531612-8395221151003\SYSTEM\CurrentControlSet\Control\Lsa] WinPWD Manager="pwmgr.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole] WinPWD Manager="pwmgr.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R un] WinPWD Manager="pwmgr.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R unServices] WinPWD Manager="pwmgr.exe" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa] WinPWD Manager="pwmgr.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] WinPWD Manager="pwmgr.exe"

Daos
El gusano es usado eficazmente para propagar el backdoor Rbot. Esta variante de Rbot tiene muchas funciones, incluyendo: recibir y ejecutar archivos, descubrir contraseas, actuar como un servidor FTP, actuar como un servidor proxy, revisar puertos, dirigir ataques DoS, capturar pantallas y camras web y propagarse a travs de redes utilizando exploits y ataques de diccionarios. Tambin puede robar los cdigos de varios juegos populares para PC. El archivo local encontrado en %sysdir%\drivers\etc ser reemplazado. Esto impide el acceso del equipo infectado a varios sitios de internet relacionados con seguridad.

Propagacin
El gusano enva mensajes a todas las direcciones en la lista de contactos de MSN. Los mensajes incluyen una conexin a un archivo malicioso .php; esta conexin contiene la direccin de correo electrnico del destinatario. Una vez que el destinatario hace click sobre el enlace, su direccin de correo electrnico ser guardada para luego ser usada por los spammers (para enviar correspondencia no solicitada).

[nickname] says: lmao you dumbass!

[nickname] says: http://freebuddyicons.[censored].php?user=[recipient's email address]


Bropia enva estas dos secuencias con cierta regularidad, para maximizar las opciones de que el destinatario haga click sobre el link. El gusano tambin utiliza redes P2P para propagarse. Se copia al directorio compartido de varias aplicaciones P2P usando los siguientes nombres:

Adult ID Check.exe Aim Flooder.exe Aim Hacker.exe AIMHacks.exe Anarchist CookBook.exe AVPDVDRip.mpg.exe BF1942FULL.exe BFVietnam.exe BigBoobs.exe BigBoobsXXX.exe Britney XXX.exe broadband wizard.exe cable accelerator.exe cable uncapper.exe CallofDutyFULL.exe CoolGames.exe Cool_Games.exe

CounterStrike.exe CounterStrikeSOURCE.exe CounterStrikeSourceFULL.exe Cracker Game.exe Cracks Collections.Exe Credit Card.exe Delphi6 Keygen.exe DOOM3_FULL.exe DownLoad Accelerator Plus.exe Dreamcast BootDisc.exe Dropitlikeitzhot.exe DVDRipper.exe Easy CD Creator 5.exe email hacker.exe exeeenSaver.exe F-ProtAV-Full.exe FBISecretDocuments.exe FTP Commander.exe Ftp Cracker.exe Ftp Hacker.exe FuckedHARDXXX.exe Gladiator (Movie) - Full Downloader.exe GTAViceCity.exe Hacker Kit.exe Hacker.exe HackingWebpage.exe HackingWindowsXP.exe HackingXP.exe HalfLife2FULL+Crack.exe HalfLife2FULL.exe

Halflife2KeyGen.exe HalfLife2_FULL.exe Hotmail Account Hacker.exe Hotmail Hack.exe Hotmail Hacker.exe Hotmail Password Cracker.exe HotmailHackerKit.exe How-to-Hack.exe HowtoHack.exe Icq Ad Remover.exe Icq Banner Remover.exe ICQ Hack.exe icq hacker.exe icq ip patch.exe Ident Faker.exe Ident Spoofer.exe IE6 Final.exe InDaClub.exe irc flooder.exe IRobotDVDRip.mpg.exe Jasc Paint Shop Pro 7 (Full).exe JeniferLopezNUDE.exe Johnny English (Movie) - Full Downloader.exe Kazaa ad remover.exe LanGuard NetScan.exe Linux RootKit.exe Matrix Reloaded.exe McafeeAntiVirus.exe MedalofHonorPacificAssultFULL.exe Microsoft Office Full.exe

MiddleSchoolPornXXX.exe Mirc6 Full.exe mirc6 keygen.exe Mp3 Maker Pro.exe mp3 to wav full.exe Msn Hacker.exe MSN Messenger Password Stealer.exe MS_Frontpage.exe NeroBurningRom 6.exe Norton AntiVirus Full.exe Norton Keygen-All Vers.exe NortonAntirVirus2005FULL.exe NortonAntiVirus2005FULL.exe NortonPersonalFirewallFULL.exe NudeCheerleaders.exe OfficeXP sp2 express.exe PasswordCrackers.exe PCChillen.exe pE packer.exe Peck.exe PhotoShopCS8.0_Crack.exe PipeBombTutorial.exe PreTeenBlowJob.exe PreTeenSEX.exe PreTeenXXX.exe PS1 BootDisc.exe PS2 BootDisc.exe PSXCopy Full.exe Salford.exe Serials 2k.exe

Serials Collections.exe SexyChickXXXHarcore.exe SexyTeen.exe Simpsons.exe SluttyCheerleaders.exe SohposAntiVirusFULL.exe Sopohs_Anti_Virus.exe SpywareKiller.exe SteelCap.exe StylesXP.exe Sub7 Master Password.exe Sub7 Remover.exe SwordFish (Movie) - Full Downloader.exe SxyTeenagePorn.exe SxyTeenageSEX.exe SxyTeenFuckedHARD.exe SxyTeenGetsItuptheASS.exe TeenSexHardcore.exe Trillian Patcher.exe Trillian Pro Full.exe Trojan Remover.exe uin2ip.exe VS.Net Patcher.exe Wadle.exe WallPapersXXX.exe webpage hacker.exe WebpageHackingTools.exe WebRootSpySweeper.exe Westdene.exe Win Proxy.exe

Win Shares Cracker.exe Win-RAR-FULL+CRACK.exe Win-RAR-FULL.exe Win98 Hacker.exe WinXP Keygen.exe WinXPHacking.exe www hacker kit.exe XPHackes.exe xxx exeeensaver.exe XXX Virtual Sex.exe XXXCollection.exe XXXHighSchoolSluts.exe XXXMagaPack.exe XXXTeenSexXXX.exe XXXWallpaperCollection.exe Yahoo Hacker.exe Zip_RAR_PWCracker.exe ZoneAlarm Pro Full.exe ZoneAlarm.exe
Rbot se propaga a travs de redes, aprovechando las vulnerabilidades de Windows que no han sido reparadas, intenta forzar su entrada a los ordenadores probando ataques de diccionario.

Eliminacin
Cercirese de que su antivirus est al da. Si su sistema est infectado, y no puede ingresar al sitio de su distribuidor de aintivirus, elimine el archivo host encontrado en %sysdir% \drivers\etc e intente de nuevo. Realice una revisin completa de su sistema. Los usuarios de Kaspersky Anti-Virus deben eliminar todos los archivos detectados como IMWorm.Win32.Bropia.ad y Backdoor.Win32.Rbot.gen. Reinicie si es necesario.

3. Sa

IM-Worm.Win32.Sumom.a
Alias

IM-Worm.Win32.Sumom.a (Kaspersky Lab) Tambin conocido como: W32/Generic.worm!p2p (NAI), W32.Serflog.A (NAV), Win32.HLLW.Generic.113 (DrWeb), W32/SumomA (Sophos), Worm:Win32/Crazog.A (RAV), WORM_FATSO.A (PCCIL), Worm/Sumom.a.html (H+BEDV), W32/Sumom.A (FPROT), Worm/Fatso.A (AVG), Win32.Worm.Sumom.A (BitDef7), Worm.Sumom.A3 (Clamav), W32/Fatso.A.worm (Panda), Win32/Sumom.A (Nod32)

Deteccin agregada

07 mar 2005 04:14 GMT

Descripcin agregada 06 jul 2007

Comportamiento

IM-Worm

Detalles tcnicos

Virus-gusano. Se propaga mediante MSN en forma de enlaces al fichero infectado. Est empaquetado con por medio de varios programas a la vez. El tamao del fichero empaquetado es de 17KB; descomprimido, 155KB bytes.

Instalacin
Se copia a s mismo al catlogo de Windows bajo uno de los siguientes nombres:

formatsys.exe lspt.exe msmbw.exe serbw.exe

El fichero copiado se marca con el atributo "oculto" (hidden), lo que permite hacerlo invisible a la mayora de los usuarios. Se registra bajo uno de los siguientes nombres:

avnort ltwob serpe

En las siguientes llaves del registro del sistema:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\R un][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio n\RunServices][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cu rrentVersion\policies\Explorer\Run]


Suplanta el fichero %WINDIR%\System32\Drivers\etc\hosts con los valores de la siguiente lista, lo que le permite impedir que los usuarios de Windows se conecten a los sitios de las compaas antivirus:

64.233.167.104 avp.com 64.233.167.104 ca.com 64.233.167.104 customer.symantec.com 64.233.167.104 dispatch.mcafee.com 64.233.167.104 download.mcafee.com 64.233.167.104 f-secure.com 64.233.167.104 grisoft.com 64.233.167.104 kaspersky.com 64.233.167.104 kaspersky-labs.com 64.233.167.104 liveupdate.symantec.com 64.233.167.104 liveupdate.symantecliveupdate.com 64.233.167.104 mast.mcafee.com 64.233.167.104 mcafee.com 64.233.167.104 my-etrust.com 64.233.167.104 nai.com 64.233.167.104 networkassociates.com 64.233.167.104 rads.mcafee.com 64.233.167.104 sandbox.norman.no 64.233.167.104 secure.nai.com 64.233.167.104 securityresponse.symantec.com 64.233.167.104 sophos.com 64.233.167.104 symantec.com 64.233.167.104 trendmicro.com 64.233.167.104 uk.trendmicro-europe.com

64.233.167.104 update.symantec.com 64.233.167.104 updates.symantec.com 64.233.167.104 us.mcafee.com 64.233.167.104 viruslist.com 64.233.167.104 www.avp.com 64.233.167.104 www.ca.com 64.233.167.104 www.f-secure.com 64.233.167.104 www.grisoft.com 64.233.167.104 www.kaspersky.com 64.233.167.104 www.mcafee.com 64.233.167.104 www.my-etrust.com 64.233.167.104 www.nai.com 64.233.167.104 www.networkassociates.com 64.233.167.104 www.pandasoftware.com 64.233.167.104 www.sophos.com 64.233.167.104 www.symantec.com 64.233.167.104 www.trendmicro.com 64.233.167.104 www.viruslist.com
Se propaga bajo los siguientes nombres:

Annoying crazy frog getting killed.pif Crazy frog gets killed by train!.pif Fat Elvis! lol.pif How a Blonde Eats a Banana...pif Jennifer Lopez.scr LOL that ur pic!.pif lspt.exe Me on holiday!.pif Mona Lisa Wants Her Smile Back.pif My new photo!.pif See my lesbian friends.pif The Cat And The Fan piccy.pif Topless in Mini Skirt! lol.pif

Manifestaciones de su presencia en el sistema


Se crean ficheros con los siguientes nombres en el catlogo raz del disco C con atributos "ocultos":

Annoying crazy frog getting killed.pif Crazy frog gets killed by train!.pif Crazy-Frog.Html Fat Elvis! lol.pif How a Blonde Eats a Banana...pif Jennifer Lopez.scr LOL that ur pic!.pif lspt.exe Me on holiday!.pif Message to n00b LARISSA.txt Mona Lisa Wants Her Smile Back.pif My new photo!.pif See my lesbian friends.pif The Cat And The Fan piccy.pif Topless in Mini Skirt! lol.pif

Destruye los siguientes procesos activos en el sistema:

apvxdwin.exe atupdater.exe aupdate.exe autodown.exe autotrace.exe autoupdate.exe avconsol.exe avengine.exe avsynmgr.exe avwupd32.exe avxquar.exe bawindo.exe blackd.exe ccapp.exe ccevtmgr.exe ccproxy.exe ccpxysvc.exe cfiaudit.exe cmd.exe defwatch.exe drwebupw.exe

escanh95.exe escanhnt.exe firewall.exe frameworkservice.exe icssuppnt.exe icsupp95.exe luall.exe lucoms~1.exe mcagent.exe mcshield.exe mcupdate.exe mcvsescn.exe mcvsrte.exe mcvsshld.exe msconfig.exe msdev.exe navapsvc.exe navapw32.exe nisum.exe nopdb.exe nprotect.exe nupgrade.exe ollydbg.exe outpost.exe pavfires.exe pavproxy.exe pavsrv50.exe peid.exe petools.exe regedit.exe reshacker.exe rtvscan.exe rulaunch.exe savscan.exe shstat.exe sndsrvc.exe symlcsvc.exe taskmgr.exe Update.exe updaterui.exe vshwin32.exe vsstat.exe vstskmgr.exe

w32dasm.exe winhex.exe wscript.exe

Al descomprimirse contiene los siguientes renglones:

'-F-u-c-k-'-Y-o-u-' Hey LARISSA fuck off, you fucking n00b!.. Bla bla to your fucking Saving the world from Bropia, the world n33ds saving from you! '-S-K-Y-'-D-E-V-I-L-' .:*Fuck-Off*:.

c. Gusanos de internet 1. Hffd

Email-Worm.Win32.Eyeveg.f
Otras versiones: .b, .g

Alias

Email-Worm.Win32.Eyeveg.f (Kaspersky Lab) Tambin conocido como: Worm.Win32.Eyeveg.f (Kaspersky Lab), W32/Eyeveg.worm.gen (NAI), W32.Lanieca.A@mm (NAV), Win32.HLLW.Eyeveg.2 (DrWeb), W32/Wurmar kJ (Sophos), Worm:Win32/Eyeveg.E (RAV), WORM_WURMARK.J (PCCIL), Worm/Cipie (H+BEDV), W32/ Eyeveg.H@mm (FPROT), PSW.Agent.5.V (AVG), Trojan.Spy.Agent.AJ (BitDef7), Trojan.W32.PWS.Prosto r.A (Clamav), W32/Eyeveg.F.worm (Panda), Win32/Eyeveg.I (Nod32)

Deteccin agregada

09 may 2005 08:21 GMT

Descripcin agregada 30 jun 2006

Comportamiento

Worm

Detalles tcnicos

ste gusano est escrito en Visual C++ y se compone de dos archivos, un archivo ejecutable (EXE) y una biblioteca de enlace dinmico (dynamic link library DLL), la cual se encuentra dentro del archivo EXE. El archivo EXE se empaqueta usando UPX, y es de un tamaosu tamao es de 80384 bytes. El archivoEl tamao del archivo DLL es de un tamao de 77824 bytes.

Instalacin
El gusano se copia al directorio del sistema bajo un nombre cualquiera compuesto de 6 letras. El archivo DLL se guardar en el mismo lugar. En sistemas Win9x, este proceso ser veladoinvisible.

Daos
El gusano desactivar las barreras internas de seguridad internas de Windows XP. Actuar como un decodificador de contraseas, recolectando detalles de carpetas compartidas, contraseas que han sido guardadas en el Navegador de Internet, contraseas de correo-ecorreo electrnico y otros datos confidenciales. Luego utiliza http POST para enviar esta informacin a www.melan******oll.biz/n.php.

Propagacin por correo electrnico-e


El gusano se enva a direcciones de correo electrnico recolectadas de archivos con extensiones como: html, eml, sht, asp, mbx. Nombres de los archivos adjuntos:

love.jpg resume.doc details.doc news.doc image.jpg message.txt pic.jpg girls.jpg photo.jpg video.avi music.mp3 song.wav screensaver

...scr ...scr ...scr ...scr ...scr ...scr ...scr ...scr ...scr ...scr ...scr ...scr ...scr

El archivo adjunto tambin puede llegar como un archivo ZIP, utilizando los nombres mencionados anteriormente.

Propagacin por redes


El gusano tambin se copia a carpetas compartidas abiertas.

2. Bff

Net-Worm.Linux.Lupper.a
Deteccin agregada 07 nov 2005 04:54 GMT

Descripcin agregada 24 ene 2008

Comportamiento

Net-Worm

Detalles tcnicos

Este programa malicioso propaga unos archivos con formato ELF y representa un peligro para los servidores web de Linux. El gusano se propaga a travs de las siguientes vulnerabilidades: 1. 2. 3. AWStats Rawlog Plugin Logfile Parameter Input Validation Vulnerability (Bugtraq 10950); XML-RPC for PHP Remote Code Injection Vulnerability (Bugtraq ID 14088); Darryl Burgdorf Webhints Remote Command Execution Vulnerability (Bugtraq ID 13930).

Las siguientes aplicaciones contienen estas vulnerabilidades: b2evolution Drupal PHPGroupWare PostNuke TikiWiki WordPress Xoops Estas vulnerabilidades fueron corregidas en las ltimas versiones de los programas. Una serie de instrucciones se ejecutan en los servidores a travs de las vulnerabilidades. Primero, una copia del gusano se descarga desde una direccin fija utilizando wget. La copia del gusano se guarda en el directorio /tmp como "lupii". Luego, un bit ejecutable se incrusta utilizando la instruccin chmod, y el archivo ejecutable se auto-ejecuta. Adems, instala una puerta trasera en el puerto UDP 7222 del servidor comprometido y espera recibir instrucciones. El gusano genera una lista de URLs que contienen las siguientes cadenas de texto: /awstats/ /b2/xmlsrv/xmlrpc.php /b2evo/xmlsrv/xmlrpc.php

/blog/xmlrpc.php /blog/xmlsrv/xmlrpc.php /blogs/xmlrpc.php /blogs/xmlsrv/xmlrpc.php /blogtest/xmlsrv/xmlrpc.php /cgi/awstats/ /cgi/hints.cgi /cgi/hints.pl /cgi/includer.cgi /cgi-bin/ /cgi-bin/awstats/ /cgi-bin/hints.cgi /cgi-bin/hints.pl /cgi-bin/hints/hints.cgi /cgi-bin/hints/hints.pl /cgi-bin/inc/includer.cgi /cgi-bin/include/includer.cgi /cgi-bin/includer.cgi /cgi-bin/stats/ /cgi-bin/webhints/hints.cgi /cgi-bin/webhints/hints.pl /cgi-local/includer.cgi /community/xmlrpc.php /drupal/xmlrpc.php /hints.cgi /hints.pl /hints/hints.cgi /hints/hints.pl /includer.cgi /phpgroupware/xmlrpc.php /scgi/awstats/ /scgi/hints.cgi /scgi/hints.pl /scgi/includer.cgi /scgi-bin/ /scgi-bin/awstats/ /scgi-bin/hints.cgi /scgi-bin/hints.pl /scgi-bin/hints/hints.cgi /scgi-bin/hints/hints.pl /scgi-bin/inc/includer.cgi /scgi-bin/include/includer.cgi /scgi-bin/includer.cgi /scgi-bin/stats/ /scgi-bin/webhints/hints.cgi /scgi-bin/webhints/hints.pl /scgi-local/includer.cgi /scripts/ /stats/ /webhints/hints.cgi /webhints/hints.pl /wordpress/xmlrpc.php /xmlrpc.php /xmlrpc/xmlrpc.php /xmlsrv/xmlrpc.php Esta lista se utiliza para contagiar otros anfitriones.

3. Dsaa

Net-Worm.Win32.Mytob.bk
Otras versiones: .be, .bi, .r, .w

Alias

Net-Worm.Win32.Mytob.bk (Kaspersky Lab) Tambin conocido como: W32/Mytob.gen@MM (NAI), W32.Mytob.ED@mm (NAV), Win32.HLLM.MyDoom.55 (DrWeb), W32/MytobAS (Sophos), WORM_MYTOB.EE (PCCIL), Worm/Mytob.FH (H+BEDV), W32/Mytob.FK@mm (FPROT), Win32.Worm.Mytob.CC (BitDef7), Worm.Mytob.AS (Clamav), W32/Mytob.FB.worm (Panda), Win32/Mytob. EA (Nod32)

Deteccin agregada

11 jun 2005 11:26 GMT

Descripcin agregada 30 jun 2006

Comportamiento

Net-Worm

Detalles tcnicos

Este gusano de red infecta ordenadores con Windows. El gusano en s es un archivo PE EXE, escrito en Visual C++ y empaquetado usando UPX. El tamao del archivo es de 57470 bytes. El archivo sin empaquetar tiene un tamao aproximado de 116KB. Tambin se extiende por Internet como un anexo a los mensajes infectados Se enva a direcciones de correo electrnico recolectadas del ordenador de la vctima. El gusano contiene una puerta trasera (backdoor) que recibe instrucciones va IRC.

Instalacin
Una vez ejecutado, el gusano se copia a s mismo al directorio del sistema de Windows como "wincfg32.exe".

%System%\wincfg32.exe
Luego se copia a s mismo en el registro del sistema de Windows, para asegurar su ejecucin cada vez que Windows sea reiniciado en el equipo de la vctima:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] "Windows Configuration" = "wincfg32.exe"

Tambin cambia la siguiente clave del registro para bloquear el servicio al Acceso compartido (Shared Access):

[HKLM\System\CurrentControlSet\Services\SharedAccess] "Start" = "4"


Cambia un rango en la siguiente clave delvarias claves de la siguiente seccin del registro del sistema para modificar los ajustea configuracins de seguridad de Internet Explorer:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]

Propagacin por correo electrnico


El gusano se enva a las direcciones de correo electrnico recogidas de la libreta de direcciones de Windows y los archivos con las siguientes extensiones:

adb asp cgi dbx htm html jsp php pl sht tbb txt wab xml
El gusano ignora las direcciones que contienen las siguientes cadenas de texto:

.gov .mil abuse accoun acketst

admin admin administrator anyone arin. avp berkeley borlan bsd bsd bugs ca certific contact example feste fido foo. fsf. gnu gold-certs google google gov. help hotmail iana ibm.com icrosof icrosoft

ietf info info inpris isc.o isi.e kernel linux linux listserv mail math me mit.e mozilla msn. mydomai no nobody nodomai noone not nothing ntivi page panda pgp postmaster privacy rating

register rfc-ed ripe. root ruslis samples secur secur sendmail service service site soft somebody someone sopho spam spm submit support support syma tanford.e the.bat unix unix usenet utgers.ed webmaster webmaster

www you your


El gusano establece un enlaceuna conexin directao al servidor SMTP del destinatario para enviar los mensajes infectados.

Mensajes infectados
Remitente (incluye uno de los nombres listados abajo):
adam alex andrew anna bill bob bob brenda brent brian claudia dan dave david debby frank fred george helen jack james jane jerry

jim jimmy joe john jose josh julie kevin leo linda maria mary matt michael michael mike paul peter ray robert sales sam sandra serg smith stan steve ted tom

Asunto del mensaje (elegido al azar de la lista de abajo)



*DETECTED* Online User Violation Email Account Suspension Important Notification Members Support Notice of account limitation Security measures Warning Message: Your services near to be closed. You have successfully updated your password Your Account is Suspended Your Account is Suspended For Security Reasons Your new account password is approved Your password has been successfully updated Your password has been updated

Cuerpo del mensaje (elegido al azar de la lista de abajo)

Dear user <random name>, You have successfully updated the password of your <random name> account. If you did not authorize this change or if you need assistance with your account, please contact <random name> customer service at: <random name> Thank you for using <random name>! The <random name> Support Team +++ Attachment: No Virus (Clean) +++ <random name> Antivirus - www. <random name>

Dear user <random name>, It has come to our attention that your <random name> User Profile ( x ) records are out of date. For further details see the attached document. Thank you for using <random name>! The <random name> Support Team +++ Attachment: No Virus (Clean) +++ <random name> Antivirus - www. <random name>

Dear <random name> Member, We have temporarily suspended your email account <random name>. This might be due to either of the following reasons: 1. A recent change in your personal information (i.e. change of address). 2. Submiting invalid information during the initial sign up process. 3. An innability to accurately verify your selected option of subscription due to an internal error within our processors. See the details to reactivate your <random name> account. Sincerely,The <random name> Support Team +++ Attachment: No Virus (Clean)

+++ <random name> Antivirus - www. <random name>

Dear <random name> Member, Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service. If you choose to ignore our request, you leave us no choice but to cancel your membership. Virtually yours, The <random name> Support Team +++ Attachment: No Virus found +++ <random name> Antivirus - www. <random name>

Nombre del archivo adjunto (elegido al azar de la lista de abajo)


accepted-password account-details account-info account-password account-report approved-password document email-details email-password important-details new-password password readme updated-password
El archivo adjunto puede tener una de las siguientes extensiones:

.bat .cmd .exe .pif .scr

El archivo adjunto tambin puede ser un archivo .ZIP, que contiene una copia del gusano en un archivo de doble extensin por ejemplo:

important-details.txt

.scr

Administracin a distancia
Net-Worm.Win32.Mytob.bk abre el un puerto TCP en el ordenador de la vctima y se conecta a canales IRC de charla interactiva para recibir rdenes. Esto da al usuario malicioso un acceso completo al equipo de la vctima va canales IRC, para recibir informacin del ordenador infectado, descargar archivos, iniciarlos y eliminarlos.

Otros
El gusano escribe el siguiente texto en el archivo "%System%\drivers\etc\hosts". Esto significa que el usuario de la mquina infectada es incapaz de ingresar a estos sitios.

127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1

www.symantec.com securityresponse.symantec.com symantec.com www.sophos.com sophos.com www.mcafee.com mcafee.com liveupdate.symantecliveupdate.com www.viruslist.com viruslist.com viruslist.com f-secure.com www.f-secure.com kaspersky.com kaspersky-labs.com www.avp.com www.kaspersky.com avp.com www.networkassociates.com networkassociates.com

127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1

www.lycos-vds.com t35.com www.t35.com t35.net www.t35.net funpic.org www.funpic.org funpic.de www.funpic.de www.ca.com ca.com mast.mcafee.com my-etrust.com www.my-etrust.com download.mcafee.com dispatch.mcafee.com secure.nai.com nai.com www.nai.com update.symantec.com updates.symantec.com us.mcafee.com liveupdate.symantec.com customer.symantec.com rads.mcafee.com trendmicro.com pandasoftware.com www.pandasoftware.com www.trendmicro.com www.grisoft.com

127.0.0.1 127.0.0.1 127.0.0.1 127.0.0.1

www.microsoft.com microsoft.com www.virustotal.com virustotal.com

Detendr su proceso si los nombres contienen las siguientes cadenas:

ACKWIN32.EXE ADAWARE.EXE ADVXDWIN.EXE AGENTSVR.EXE AGENTW.EXE ALERTSVC.EXE ALEVIR.EXE ALOGSERV.EXE AMON9X.EXE ANTI-TROJAN.EXE ANTIVIRUS.EXE ANTS.EXE APIMONITOR.EXE APLICA32.EXE APVXDWIN.EXE ARR.EXE ATCON.EXE ATGUARD.EXE ATRO55EN.EXE ATUPDATER.EXE ATUPDATER.EXE ATWATCH.EXE AUPDATE.EXE AUPDATE.EXE

AUTODOWN.EXE AUTODOWN.EXE AUTOTRACE.EXE AUTOTRACE.EXE AUTOUPDATE.EXE AUTOUPDATE.EXE AVCONSOL.EXE AVE32.EXE AVGCC32.EXE AVGCTRL.EXE AVGNT.EXE AVGSERV.EXE AVGSERV9.EXE AVGUARD.EXE AVGW.EXE AVKPOP.EXE AVKSERV.EXE AVKSERVICE.EXE AVKWCTl9.EXE AVLTMAIN.EXE AVNT.EXE AVP.EXE AVP32.EXE AVPCC.EXE AVPDOS32.EXE AVPM.EXE AVPTC32.EXE AVPUPD.EXE AVPUPD.EXE AVSCHED32.EXE

AVSYNMGR.EXE AVWINNT.EXE AVWUPD.EXE AVWUPD32.EXE AVWUPD32.EXE AVWUPSRV.EXE AVXMONITOR9X.EXE AVXMONITORNT.EXE AVXQUAR.EXE AVXQUAR.EXE BACKWEB.EXE BARGAINS.EXE BD_PROFESSIONAL.EXE BEAGLE.EXE BELT.EXE BIDEF.EXE BIDSERVER.EXE BIPCP.EXE BIPCPEVALSETUP.EXE BISP.EXE BLACKD.EXE BLACKICE.EXE BLSS.EXE BOOTCONF.EXE BOOTWARN.EXE BORG2.EXE BPC.EXE BRASIL.EXE BS120.EXE BUNDLE.EXE

BVT.EXE CCAPP.EXE CCEVTMGR.EXE CCPXYSVC.EXE CDP.EXE CFD.EXE CFGWIZ.EXE CFIADMIN.EXE CFIAUDIT.EXE CFIAUDIT.EXE CFINET.EXE CFINET32.EXE CLEAN.EXE CLEANER.EXE CLEANER3.EXE CLEANPC.EXE CLICK.EXE CMD32.EXE CMESYS.EXE CMGRDIAN.EXE CMON016.EXE CONNECTIONMONITOR.EXE CPD.EXE CPF9X206.EXE CPFNT206.EXE CTRL.EXE CWNB181.EXE CWNTDWMO.EXE CLAW95CF.EXE DATEMANAGER.EXE

DCOMX.EXE DEFALERT.EXE DEFSCANGUI.EXE DEFWATCH.EXE DEPUTY.EXE DIVX.EXE DLLCACHE.EXE DLLREG.EXE DOORS.EXE DPF.EXE DPFSETUP.EXE DPPS2.EXE DRWATSON.EXE DRWEB32.EXE DRWEBUPW.EXE DSSAGENT.EXE DVP95.EXE DVP95_0.EXE ECENGINE.EXE EFPEADM.EXE EMSW.EXE ENT.EXE ESAFE.EXE ESCANHNT.EXE ESCANV95.EXE ESPWATCH.EXE ETHEREAL.EXE ETRUSTCIPE.EXE EVPN.EXE EXANTIVIRUS-CNET.EXE

EXE.AVXW.EXE EXPERT.EXE EXPLORE.EXE F-PROT.EXE F-PROT95.EXE F-STOPW.EXE FAMEH32.EXE FAST.EXE FCH32.EXE FIH32.EXE FINDVIRU.EXE FIREWALL.EXE FNRB32.EXE FP-WIN.EXE FP-WIN_TRIAL.EXE FPROT.EXE FRW.EXE FSAA.EXE FSAV.EXE FSAV32.EXE FSAV530STBYB.EXE FSAV530WTBYB.EXE FSAV95.EXE FSGK32.EXE FSM32.EXE FSMA32.EXE FSMB32.EXE GATOR.EXE GBMENU.EXE GBPOLL.EXE

GENERICS.EXE GMT.EXE GUARD.EXE GUARDDOG.EXE HACKTRACERSETUP.EXE HBINST.EXE HBSRV.EXE HOTACTIO.EXE HOTPATCH.EXE

II. Virus clsico a. Virus de archivos ejecutables y de arranque

Virus.Win32.Gpcode.ai
Otras versiones: .ad, .ag, .ak Deteccin agregada 16 jul 2007 00:10 GMT

Descripcin agregada 16 jul 2007

Comportamiento

Virus

Detalles tcnicos Daos Instrucciones de eliminacin

Detalles tcnicos

Programa nocivo que cifra los ficheros del usuario en el ordenador infectado. Es un programa para Windows (fichero PE-EXE). Est empaquetado con UPX. Su tamao es de 58.368 bytes. Las variantes conocidas tenan el nombre ntos.exe. Los ficheros ejecutables de las variantes conocidas tenan el nombre ntos.exe.

Daos

Despus de iniciarse, el virus genera una llave nica para cifrar los ficheros y los guarda en la siguiente llave del registro del sistema:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion] "WinCode" = "<llave de cifrado>"


Tambin se inscribe a s mismo en la llave de autoinicio del registro del sistema:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "UserInit" = "%System%\userinit.exe, %System%\ntos.exe"


El valor de la llave se coteja con el contenido de los procesos del sistema dnde se ha infiltrado el cdigo nocivo (por ejemplo, Winlogon.exe). Si el valor de la llave cambia (p.e., se la elimina el valor c:\windows\system32\ntos.exe), se la reestablece automticamente desde algn proceso del sistema. Adems, el cdigo infiltrado protege el fichero ubicado en el directorio del sistema (c:\windows\system32\ntos.exe) contra cualquier modificacin, cambio de nombre o copia. Despus, si la fecha en curso se encuentra en el diapasn entre el 10 y 15 de julio de 2007 (inclusive), el programa nocivo empieza a cifrar todos los ficheros del usuario que tengan las siguientes extensiones:

.12m .3ds .3dx .4ge .4gl .7z .a .a86 .abc .acd .ace .act .ada .adi

.aex .af3 .afd .ag4 .ai .aif .aifc .aiff .ain .aio .ais .akf .alv .amp .ans .ap .apa .apo .app .arc .arh .arj .arx .asc .asm .ask .au .bak .bas .bb

.bcb .bcp .bdb .bh .bib .bpr .bsa .btr .bup .bwb .bz .bz2 .c .c86 .cac .cbl .cc .cdb .cdr .cgi .cmd .cnt .cob .col .cpp .cpt .crp .cru .csc .css

.csv .ctx .cvs .cwb .cwk .cxe .cxx .cyp .d .db .db0 .db1 .db2 .db3 .db4 .dba .dbb .dbc .dbd .dbe .dbf .dbk .dbm .dbo .dbq .dbt .dbx .dfm .djvu .dic

.dif .dm .dmd .doc .dok .dot .dox .dsc .dwg .dxf .dxr .eps .exp .f .fas .fax .fdb .fla .flb .frm .fm .fox .frm .frt .frx .fsl .gtd .gif .gz .gzip

.h .ha .hh .hjt .hog .hpp .htm .html .htx .ice .icf .inc .ish .iso .jar .jad .java .jpg .jpeg .js .jsp .key .kwm .lst .lwp .lzh .lzs .lzw .ma .mak

.man .maq .mar .mbx .mdb .mdf .mid .mo .myd .obj .old .p12 .pak .pas .pdf .pem .pfx .php .php3 .php4 .pgp .pkr .pl .pm3 .pm4 .pm5 .pm6 .png .ppt .pps

.prf .prx .ps .psd .pst .pw .pwa .pwl .pwm .pwp .pxl .py .rar .res .rle .rmr .rnd .rtf .safe .sar .skr .sln .swf .sql .tar .tbb .tex .tga .tgz .tif

.tiff .txt .vb .vp .wps .xcr .xls .xml .zip


En cada catlogo donde se hayan cifrado ficheros, el virus pone el fichero read_me.txt, que tiene el siguiente contenido: Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA). You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us. To decrypt your files you need to buy our software. The price is $300. To buy our software please contact us at: xxxxx@xxxx.com and provide us your personal code -XXXXX. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system. If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data.

Glamorous team El virus crea en el directorio del sistema de Windows un directorio escondido, wsnpoem, que contiene dos ficheros vacos: vide.dll y audio.dll.

Instrucciones de eliminacin

Si su ordenador no contaba con la proteccin de un antivirus y se contagi con la nueva versin de este programa nocivo, siga las siguientes instrucciones para eliminarlo: 1. Para desactivar de forma manual el programa nocivo, se puede cambiar el valor de la llave del registro agregando cualquier carcter al final del nombre del mdulo nocivo. Por ejemplo:

2. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "UserInit" = "%System%\userinit.exe, %System%\ntos.exe_"

3. 4.

Reiniciar el ordenador. Eliminar manualmente los siguientes ficheros del catlogo del sistema de Windows:

ntos.exe
Hacer un anlisis completo del ordenador usando Kaspersky Anti-Virus con las ltimas actualizaciones de sus bases antivirus (Descargar versin de prueba).

Virus.Win32.Delf.k
Deteccin agregada 10 ene 2006 21:30 GMT

Actualizacin lanzada 10 ene 2006 22:41 GMT

Descripcin agregada 30 jun 2006

Comportamiento

Virus

Detalles tcnicos Daos Instrucciones de eliminacin

Detalles tcnicos

Este virus reemplaza archivos .EXE con su propio cdigo. El virus en s es un archivo PE EXE de Windows y su tamao es de 18944 bytes. Est escrito en Delphi.

Daos

Una vez ejecutado, el virus busca en el disco duro archivos con extensin .EXE. Cuando el virus encuentra tal archivo, lo copia a un archivo llamado: <original file name>.exe.exe La copia del archivo se coloca en la misma carpeta que el archivo original. Despus, el virus borra el contenido del archivo original y lo reemplaza por su prop o cdigo. Cuando un archivo infectado se ejecuta, el virus lanza la copia del archivo original y luego se detiene. El virus exhibe el siguiente mensaje el 14 de mayo.

Entonces el virus hace que el equipo de la vctima colapse.

Instrucciones de eliminacin 1. 2. Elimine todas las copias del virus y cambie los nombres de los archivos llamados <nombre original del archivo>.exe.exe por <nombre original del archivo>.exe. Actualice la base de datos de su antivirus y lleve a cabo un anlisis completo a su ordenador (descargue una versin de prueba de Kaspersky Anti-Virus).

Virus.VBS.Jertva
Deteccin agregada 02 feb 2005

Descripcin agregada 16 jul 2007

Comportamiento

Virus

Detalles tcnicos Daos Instrucciones de eliminacin

Detalles tcnicos Virus que infecta los ficheros con extensiones .htm, .html y .asp. Su tamao es de 1.531 bytes. Est escrito en Visual Basic Script (VBS). Daos

Al iniciarse, el programa comprueba si ha sido lanzada desde un recurso local. Si es as, entonces el virus revisa su directorio de trabajo en busca de ficheros con las extensiones:

*.htm *.html *.asp

Al principio de todos los ficheros encontrados escribe el siguiente rengln:

<!-- HTML.MB.b -->


Despus, el virus aade su cuerpo al fichero.

Instrucciones de eliminacin

Si su ordenador no contaba con la proteccin de un antivirus y se contagi con la nueva versin de este programa nocivo, siga las siguientes instrucciones para eliminarlo: 1. 2. Eliminar el archivo original del troyano (su ubicacin en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador). Hacer un anlisis completo del ordenador usando Kaspersky Anti-Virus con las ltimas actualizaciones de sus bases antivirus (Descargar versin de prueba).

b. Virus de macro No se encontr c. Virus de script

Worm.VBS.Netlog.l
Otras versiones: .k Alias

Worm.VBS.Netlog.l (Kaspersky Lab) Tambin conocido como: VBS.Netlog.l (Kaspersky Lab), VBS/Netlog.worm (NAI), VBS.Cable (NAV), VBS/CableA (Sophos), VBS/Netlog.L* (RAV), VBS_CABLE.A (PCCIL), VBS/Netlog.L (H+BEDV), VBS/Netlog.B (FP ROT), VBS:Malware (AVAST), VBS/Netlog (AVG), VBS.Netlog.I (BitDef7), VBS/Netlog.L (Nod32)

Descripcin agregada 26 jul 2007

Comportamiento

VBSViruses

Detalles tcnicos Daos Instrucciones de eliminacin

Detalles tcnicos El tamao de este gusano es de 2.282 bytes. Est escrito en Visual Basic Script (VBS). Se propaga copindose a s mismo en los ordenadores de la red local. Daos

Al iniciarse el gusano escoge en la red una direccin IP al azar cuyo primer octeto sea igual a 65 (por ejemplo, 65.24.52.0) y trata de conectarse a todos los ordenadores de esta red, probando cambiar el ltimo octeto de la direccin IP desde 1 hasta 255. En caso de conectarse, en los ordenadores infectados se agrega un nuevo disco de red con el nombre de X. Despus, el gusano copia los ficheros:

c:\windows\startm~1\programs\startup\_chubby.vbs c:\sys32.exe
al directorio de autoinicio del disco de red:

x:\windows\startm~1\programs\startup
El fichero c:\sys32.exe tambin se copia al directorio raz del disco de red X. Despus de lo cual el disco se desconecta.

Instrucciones de eliminacin

Si su ordenador no contaba con la proteccin de un antivirus y se contagi con la nueva versin de este programa nocivo, siga las siguientes instrucciones para eliminarlo: 1. 2. 3. Terminar el proceso del troyano con el Administrador de Tareas. Eliminar el archivo original del gusano (su ubicacin en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador). Encontrar y eliminar los siguientes ficheros de todos los directorios:

4. _chubby.vbs sys32.exe
5. Hacer un anlisis completo del ordenador usando Kaspersky Anti-Virus con las ltimas actualizaciones de sus bases antivirus (Descargar versin de prueba).

Worm.VBS.Netlog.k
Otras versiones: .l Alias

Worm.VBS.Netlog.k (Kaspersky Lab) Tambin conocido como: VBS.Netlog.k (Kaspersky Lab), VBS/Netlog.worm (NAI), VBS.Network (NAV), VBS/NetlogB (Sophos), VBS_NETLOGI.A (PCCIL), VBS/Netlog #1 (H+BEDV), VBS/Netlog.K (FPROT), VBS:Netlog (AVAST), VBS/Netlog (AVG), VBS.Netlog.D (BitDef7) , VBS.Netlog.B (Clamav), VBS/NetLog.E (Panda)

Descripcin agregada 26 jul 2007

Comportamiento

VBSViruses

Detalles tcnicos Daos Instrucciones de eliminacin

Detalles tcnicos El tamao de este gusano es de 2.282 bytes. Est escrito en Visual Basic Script (VBS). Se propaga copindose a s mismo en los ordenadores de la red local. Daos

Al iniciarse el gusano escoge en la red una direccin IP al azar cuyo primer octeto sea igual a 24 (por ejemplo, 24.91.52.0) y trata de conectarse a todos los ordenadores de esta red, probando cambiar el ltimo octeto de la direccin IP desde 1 hasta 255. En caso de conectarse, en los ordenadores infectados se agrega un nuevo disco de red con el nombre de X. Despus, el gusano copia los ficheros:

c:\windows\startm~1\programs\startup\tovbs.vbs c:\windows\startm~1\programs\startup\tovbs.exe
al directorio de autoinicio del disco de red:

z:\windows\startm~1\programs\startup
Despus de lo cual el disco se desconecta. Durante sus actividades en el ordenador del usuario, el gusano crea un fichero donde escribe la informacin sobre el trabajo efectuado:

c:\my.log
El peligro que representa este gusano es muy bajo, porque su propagacin es muy lenta. La bsqueda del ordenador-vctima toma bastante tiempo, aparte de que la mayor parte de los equipos, por lo general, no se conectan a la red de la forma que el gusano necesita.

Instrucciones de eliminacin

Si su ordenador no contaba con la proteccin de un antivirus y se contagi con la nueva versin de este programa nocivo, siga las siguientes instrucciones para eliminarlo: 1. 2. 3. Terminar el proceso del troyano con el Administrador de Tareas. Eliminar el archivo original del gusano (su ubicacin en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador). Encontrar y eliminar los siguientes ficheros de todos los directorios:

4. tovbs.vbs tovbs.exe
5. Hacer un anlisis completo del ordenador usando Kaspersky Anti-Virus con las ltimas actualizaciones de sus bases antivirus (Descargar versin de prueba).

Virus.BAT.Bomgen
Alias

Virus.BAT.Bomgen (Kaspersky Lab) Tambin conocido como: BAT.Bomgen (Kaspersky Lab), Bat/Pilth (NAI), BAT.BWG@mm (NAV), Worm:BAT/Pfilth* (RAV), BAT_FILTH.A (PCCIL), BAT/Pfilt.A (FP ROT), BV:Malware (AVAST), VBS.Pfilth.A@mm (BitDef7), Bat.Bomgen (Clamav), BAT/Pfilt (Panda), BA T/Pfilth.A (Nod32)

Deteccin agregada

01 nov 2005 11:43 GMT

Actualizacin lanzada 01 nov 2005 13:36 GMT

Descripcin agregada 12 jul 2007

Comportamiento

BATViruses

Detalles tcnicos Daos Instrucciones de eliminacin

Detalles tcnicos

El programa es un archivo de paquetes (archivo BAT). Daos

%Windir%\setupset.bat %Windir%\helpinit.vbs %Windir%\regsys.js %Windir%\SYSZAAcc.bat %Windir%\WinEffHj.vbs %Windir%\4ieny5iC %Windir%\2HVjzBPf


El virus tambin crea los siguientes ficheros:

%Temp%\wVbcg8IS.wj 64 bytes in size; %Temp%\FqvC2WD.vbs 436 bytes in size; %Windir%\jKmmOCFG.js 3, 322 bytes in size.

Instrucciones de eliminacin

Si su ordenador no contaba con la proteccin de un antivirus y se contagi con la nueva versin de este programa nocivo, siga las siguientes instrucciones para eliminarlo: 1. Eliminar el archivo original del troyano (su ubicacin en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).

2. %Windir%\setupset.bat 3. %Windir%\helpinit.vbs 4. %Windir%\regsys.js 5. %Windir%\SYSZAAcc.bat 6. %Windir%\WinEffHj.vbs 7. %Temp%\wVbcg8IS.wj 8. %Temp%\FqvC2WD.vbs %Windir%\jKmmOCFG.js %Windir%\4ieny5iC %Windir%\2HVjzBPf

9.

Hacer un anlisis completo del ordenador usando Kaspersky Anti-Virus con las ltimas actualizaciones de sus bases antivirus (Descargar versin de prueba).

III. Programas Troyanos (caballos de Troya) Puertas traseras (backdoors)

Backdoor.Win32.Breplibot.b
Deteccin agregada 10 nov 2005 10:08 GMT

Actualizacin lanzada 10 nov 2005 10:42 GMT

Descripcin agregada 07 jul 2006

CME-ID

CME-589

Comportamiento

Backdoor

Detalles tcnicos

Este programa puede ser usado para administrar a distancia el ordenador de la vctima usando los canales IRC. El programa en s mismo es un archivo PE EXE de 10240 bytes de Windows de un archivo 10240 comprimido usando UPX. Al ser descomprimido tiene un tamao aproximado de 312 KB. El gusano backdoor fue distribuido usando el correo masivo como tecnologa.

Instalacin
Una vez ejecutado, el backdoor se copia a s mismo en el directorio del sistema de Windows como "$sys$drv.exe":

%System%\$sys$drv.exe
Esto posibilita que el programa malicioso sea ocultado usando la tecnologa rootkit implementada por Sony. Sin embargo, el programa ser ocultado solo si la proteccin DRM implementada por Sony en ciertos CD de audio est funcionando en el equipo de la victima.

Una vez ejecutado, el backdoor crea en el sistema el siguiente registro ejecutable :

[HKCU\WkbpsevaXImgvkwkbpXSmj`kswXGqvvajpRavwmkjXVqj] "$sys$drv"="$sys$drv.exe"
Tambin crea los siguientes identificadores nicos para sealar su presencia en el sistema.

"SonyEnabled" "#$$sys$drv>.exe "


Despus de hacer todo esto, el archivo ejecutable original se elimina.

Carga til
El backdoor se conecta con los canales del IRC enumerados abajo para esperar rdenes:

152.7.24.186 24.210.44.45 35.10.203.93 67.171.67.190 68.101.14.76


Esto proporciona al hacker acceso completo al ordenador de la vctima, acceso a la informacin guardada en el mismo y permite descargar, ejecutar y eliminar archivos a distancia. El programa es tambin capaz de evadir la deteccin del cortafuego (firewall) de Windows. Se agrega a s mismo a la lista de programas permitidos, de modo que sus acciones no sean bloqueadas por el cortafuego (firewall).

Trojan-SMS.J2ME.Smarm.c
Deteccin agregada 01 feb 2008 13:31 GMT

Descripcin agregada 08 feb 2010

Comportamiento

Trojan

Detalles tcnicos Daos Instrucciones de eliminacin

Detalles tcnicos

Este troyano infecta los telfonos mviles de todas las marcas que tengan Java (J2ME). Intenta enviar mensajes de texto SMS desde los aparatos infectados a nmeros de pago sin el conocimiento ni consentimiento del usuario. El programa es una aplicacin Java comprimida con JAR. El nombre del paquete comprimido puede variar. Tiene un tamao de 1.649 a 270 bytes. El comprimido contiene los siguientes archivos:

MANIFEST.MF
es un archivo de servicio que contiene informacin sobre la aplicacin, incluyendo un prefijo para el SMS y los nmeros de pago a los que se enviarn los SMS. Este archivo tiene un tamao de 318-351 bytes.

Ico.png
es el icono de la aplicacin (95-4.629 bytes de tamao);

go.class
es un archivo malicioso que intenta enviar mensajes SMS (2.217 bytes de tamao);

.Timestamp
(9 bytes de tamao). Daos

El troyano se propaga en sitios WAP camuflado como varios programas supuestamente tiles, como por ejemplo, un antivirus o un programa para abonar dinero a una cuenta telefnica gratuitamente. La aplicacin se instala en el telfono con varios nombres. Cuando se ejecuta, el programa malicioso procede a enviar un mensaje SMS con un texto determinado al nmero 3649. El SMS cuesta 10$ (unos 270 RUR). El programa no realiza ninguna otra actividad maliciosa.

Instrucciones de eliminacin 1. 2. Si el programa se instal en un telfono mvil regular, se lo puede eliminar usando herramientas estndar. Si el programa se instal en un smartphone, el usuario puede borrarlo usando herramientas estndar o Kaspersky Mobile Security con sus bases de datos antimalware actualizadas.

Trojan.JS.ExitW.b
Otras versiones: .a Alias

Trojan.JS.ExitW.b (Kaspersky Lab) Tambin conocido como: JS/Wipe (NAI), JS.HTADropper (NAV), Troj/ObjectID-

A (Sophos), JS/RunScript.dr.gen* (RAV), JS_EXITW.A.DR (PCCIL), JSc/ExitW.B1 (H+BEDV), VBS/WSR unner.E (FPROT), VBS:Malware (AVAST), JS.Trojan.ExitW.B (BitDef7), JScr.ExitW.B1 (Clamav), JS/Troj an.ExitW.B (Panda), JS/ExitW.B (Nod32)

Descripcin agregada 25 abr 2007

Comportamiento

Trojan

Detalles tcnicos Daos Instrucciones de eliminacin

Detalles tcnicos Programa troyano. Es una secuencia de instrucciones en JavaScript. Est contenido en pginas WEB. Su tamao es de 1.476 bytes. Daos

El troyano, utilizando el objeto "ScriptletTypeLib" crea un archivo que se inicia junto con Windows:

%WinDir%\Start Menu\Programs\StartUp\winmem.hta
Este archivo contiene una instruccin que apaga Windows.

Instrucciones de eliminacin

Si su ordenador no contaba con la proteccin de un antivirus y se contagi con la nueva versin de este programa nocivo, sigua las siguientes instrucciones para eliminarlo: 1. 2. Eliminar el archivo original del troyano (su ubicacin en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador). Eliminar el archivo:

%WinDir%\Start Menu\Programs\StartUp\winmem.hta
3. Hacer un anlisis completo del ordenador usando Kaspersky Anti-Virus con las ltimas actualizaciones de sus bases antivirus (Descargar versin de prueba).

Trojan-PSW.VBS.Half
Alias

Trojan-PSW.VBS.Half (Kaspersky Lab) Tambin conocido como: Trojan.PSW.VBS.Half (Kaspersky Lab), VBS/PWStealer (NAI), PWLsteal.Trojan (NAV), VBS/Half* (RAV), VBS_HALF.A (PCCIL), VBS/PWStealer .A (FPROT), VBS:Malware (AVAST), VBS.Trojan.PWstealer.C (BitDef7), Trojan Horse (Panda), VBS/PSW.Half (Nod32)

Descripcin agregada 28 nov 2007

Comportamiento

PSW-Trojan

Detalles tcnicos Daos Instrucciones de eliminacin

Detalles tcnicos

Este troyano es un virus VBScript que roba contraseas a los usuarios. .El tamao del archivo es de 977 bytes. El troyano puede encontrarse en las pginas web y roba contraseas de los sistemas Win9x .

Daos

Cuando se abre una pgina que contiene el cdigo malicioso, el troyano analiza los directorios en la unidad de disco C:\ en busca de los archivos con extensin *.pwl. (Estos archivos son utilizados en los sistemas Win9x para almacenar las contraseas de los usuarios). Luego utiliza objetos ActiveXObject MSMAPI.MAPISession p ara enviar las contraseas al usuario remoto malicioso a la direccin onehalf***4@mail.ru. El Tema tiene el siguiente mensaje: "this is test for lame" Y contiene el siguiente texto: "hello my friend(c)onehalf***4:".

Instrucciones de eliminacin 1. 2. Elimine la pagina HTML que contiene el cdigo malicioso. Actualice la base de datos de su antivirus y lleve a cabo un anlisis completo de su ordenador (descargue una versin de prueba de Kaspersky Anti-Virus)

Trojan-Clicker.Win32.VB.b
Otras versiones: .bg, .bw

Alias

Trojan-Clicker.Win32.VB.b (Kaspersky Lab) Tambin conocido como: TrojanClicker.Win32.VB.b (Kaspersky Lab), Trojan Horse (NAV), Troj/TclickB (Sophos), TrojanClicker:Win32/VB.B (RAV), TROJ_CLICKERVB.B (PCCIL), TR/Clicker.VB.B (H+BEDV), Trojan.Clicker.VB.B (BitDef7), Trojan Horse (Panda), Win32/TrojanClicker.VB.B (Nod32)

Descripcin agregada 03 ago 2007

Comportamiento

TrojanClicker

Detalles tcnicos Daos Instrucciones de eliminacin

Detalles tcnicos

Programa troyano creado para abrir pginas en la ventana de Internet Explorer sin que el usuario se d cuenta. El programa es una aplicacin Windows (fichero PE EXE). Su tamao es de 29.184 bytes. Est escrito en Visual Basic.

Instalacin
Al ejecutarse, el troyano copia su cuerpo al siguiente directorio bajo el nombre "EXEC.exe:

%System%\VMM32\AUTOEXEC\EXEC.exe
Con el objetivo de iniciarse automticamente cada vez que se inicie Windows, el troyano agrega un enlace a este fichero ejecutable en la llave de autoinicio del registro del sistema:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "AUTOEXEC" = "%System%\VMM32\AUTOEXEC\EXEC.exe hidden"

Daos

El troyano enva una solicitud al sitio:

http://www.angelfire.com/geek/bestjavascripts/v/***.rld

En esta pgina hay una direccin de las pginas que el troyano abrir en la ventanas emergentes de Internet Explorer. En el momento en que escribamos esta descripcin, en la pgina se encontraban enlaces a los siguientes sitios:

http://bestjavascripts.xug.net/**** http://www.skins4msn.web1000.com/****

Instrucciones de eliminacin

Si su ordenador no contaba con la protecciRn de un antivirus y se contagiR con la nueva versiRn de este programa nocivo, siga las siguientes instrucciones para eliminarlo:

Eliminar el archivo original del troyano (su ubicaciRn en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador). Eliminar los ficheros creados por el troyano:

%System%\VMM32\AUTOEXEC\EXEC.exe
Eliminar el siguiente parametro de la llave del registro:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "AUTOEXEC" = "%System%\VMM32\AUTOEXEC\EXEC.exe hidden"

Hacer un an?lisis completo del ordenador usando Kaspersky Anti-Virus con las ?ltimas actualizaciones de sus bases antivirus (Descargar versiRn de prueba).

Trojan-Downloader.JS.Agent.ex
Deteccin agregada 27 abr 2007 15:55 GMT

Actualizacin lanzada 27 abr 2007 17:56 GMT

Descripcin agregada 12 jul 2007

Comportamiento

TrojanDownloader

Detalles tcnicos Daos Instrucciones de eliminacin

Detalles tcnicos Programa troyano que, sin que el usuario se d cuenta, descarga desde Internet otros programas y los ejecuta. El tamao de los componentes del troyano puede ser de 7 a 19 kilobytes. Est escrito en JavaScript Daos

Al ejecutarse, el troyano descarga un archivo de la siguiente direccin:

http://www.tankersite.com/1/*****/zerr.exe
En el momento de la creacin de esta descripcin, el enlace a la direccin mencionada no funcionaba. El fichero descargado se guarda como:

C:\1.exe
y se lo inicia.

Instrucciones de eliminacin

Si su ordenador no contaba con la proteccin de un antivirus y se contagi con la nueva versin de este programa nocivo, siga las siguientes instrucciones para eliminarlo: 1. 2. Eliminar el archivo original del troyano (su ubicacin en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador). Eliminar el archivo:

C:\1.exe
3. Hacer un anlisis completo del ordenador usando Kaspersky Anti-Virus con las ltimas actualizaciones de sus bases antivirus (Descargar versin de prueba).

Trojan-Dropper.MSWord.Lafool.v
Deteccin agregada 31 oct 2006 07:22 GMT

Descripcin agregada 02 nov 2006

Comportamiento

TrojanDropper

Detalles tcnicos

Daos Instrucciones de eliminacin

Detalles tcnicos

Programa troyano, creado para instalar de forma disimulada otros programas troyanos en el sistema. Es un documento Microsoft Word que contiene un macros. El tamao del documento Microsoft Word que hemos analizado es de 205.824 bytes. Durante cada ejecucin de Microsoft Word (AutoExec) y al abrir el documento en formato Microsoft Word (AutoOpen y Document_Open) se lanza la funcin del mdulo principal del troyano.

Daos

El troyano descifra las lneas del texto de la funcin, para despus guardar el resultado en un fichero en la raz del disco C: bajo el nombre de "LS060E5.EXE": C:\LS060E5.eXE (tamao 27 648 bytes) Kaspersky Anti-Virus detecta este archivo como Trojan-PSW.Win32.LdPinch.bbg. Despus se ejecuta el archivo.

Instrucciones de eliminacin 1. Comprobar la presencia en el disco C: del fichero "LS060E5.eXE" y eliminarlo: C:\LS060E5.eXE 2. 3. Cerrar todas los programas de Microsoft Office. Hacer un anlisis completo del ordenador usando Kaspersky Anti-Virus con las ltimas actualizaciones de sus bases antivirus (>descargar versin de prueba).

Trojan-Proxy.Win32.Delf.ab
Deteccin agregada 03 ago 2005 21:35 GMT

Actualizacin lanzada 03 ago 2005 23:06 GMT

Descripcin agregada 14 jun 2007

Comportamiento

TrojanProxy

Detalles tcnicos Daos Instrucciones de eliminacin

Detalles tcnicos

Programa troyano que ejecuta un servidor proxy en el ordenador del usuario. Es un programa para Windows (fichero PE-EXE). Su tamao es de 239.616 bytes.

Instalacin
Despus de iniciarse, el programa copia su fichero ejecutable al catlogo raz de Windows:

%WinDir%\services.exe
Con el objetivo de iniciarse automticamente cada vez que se inicie Windows, el troyano agrega un enlace a su fichero ejecutable en la llave de autoinicio del registro del sistema:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] Shell = "Explorer.exe %WinDir%\services.exe"

Daos El troyano ejecuta en el ordenador del usuario un servidor proxy usando un puerto TCP elegido al azar. Despus, se registra en el sitio del delincuente y le comunica el nmero del puerto abierto. A continuacin, el ordenador del usuario puede ser usado por los delincuentes para disimular su trabajo en la red.

Instrucciones de eliminacin

Si su ordenador no contaba con la proteccin de un antivirus y se contagi con la nueva versin de este programa nocivo, siga las siguientes instrucciones para eliminarlo: 1. 2. 3. Terminar el proceso del troyano con el Administrador de Tareas. Eliminar el archivo original del troyano (su ubicacin en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador). Modificar el valor del parmetro del registro con el siguiente valor:

4. [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] Shell = "Explorer.exe"


5. Eliminar el archivo:

%WinDir%\services.exe
6. Hacer un anlisis completo del ordenador usando Kaspersky Anti-Virus con las ltimas actualizaciones de sus bases antivirus (Descargar versin de prueba).

Trojan-Spy.HTML.Bankfraud.qe
Deteccin agregada 21 sep 2006 10:19 GMT

Actualizacin lanzada 21 sep 2006 13:46 GMT

Descripcin agregada 06 oct 2006

Comportamiento

TrojanSpy

Detalles tcnicos

Programa troyano que utiliza la tecnologa "spoofing". Realizada en forma de pgina HTML falsificada. Roba la informacin confidencial de los clientes del Bank of America. Se enva por correo electrnico aparentando ser un mensaje importante:

El mensaje contiene un enlace que aprovecha la vulnerabilidad Frame Spoof en Internet Explorer. La vulnerabilidad Frame Spoof (MS04-004) existen en las versiones 5.x y 6.x de Microsoft Internet Explorer. La compaa Microsoft ha publicado un documento especial, dnde se da una definicin de la vulnerabilidad y recomendaciones para reconocer este tipo de enlaces falsificados. Al llegar al sitio web falsificado, los usuarios escriben los datos de sus cuentas, que luego son enviados a los delincuentes, que pueden obtener acceso ilimitado a la administracin de la cuenta del usuario.

IV. Otro programas maliciosos

DoS.Linux.Front
Alias

DoS.Linux.Front (Kaspersky Lab) Tambin conocido como: Perl/Front (NAI), Perl.Frontp (NAV), Troj/Front (Sophos), PERL/Front* (RAV), PERL_LFRONT.A (PCCIL), Unix/Front.A (FPROT), UNIX:Malware (AVAST), PERL.Front.A (BitDef7), DoS Program (Panda), Linux/DoS.Front.A (Nod32)

Descripcin agregada 15 may 2007

Comportamiento

DoS

Detalles tcnicos Daos Instrucciones de eliminacin

Detalles tcnicos Programa nocivo destinado a realizar ataques DoS (Denial of Service) contra un servidor remoto. Es una secuencia de instrucciones nocivas escrita en Perl. Su tamao es de 988 bytes. Daos

Este programa realiza ataques DoS contra un ordenador remoto, cuya direccin la indica el delincuente como un parmetro de entrada al iniciar el utilitario. Como resultado del funcionamiento del programa, en el servidor atacado pueden surgir problemas con los servicios de red.

Instrucciones de eliminacin

Si su ordenador no contaba con la proteccin de un antivirus y se contagi con la nueva versin de este programa nocivo, siga las siguientes instrucciones para eliminarlo: 1. 2. Eliminar el archivo original del programa nocivo (su ubicacin en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador). Hacer un anlisis completo del ordenador usando Kaspersky Anti-Virus con las ltimas actualizaciones de sus bases antivirus (Descargar versin de prueba).

DoS.Perl.Httux
Alias

DoS.Perl.Httux (Kaspersky Lab) Tambin conocido como: Perl/Exploit.gen (NAI), Hacktool.DoS (NAV), Troj/ByteFusA (Sophos), DoS:PERL/Httux.A* (RAV), Unix/Tuxhttpd@expl (FPROT), UNIX:Malware (AVAST), DoS.Per l.Httux (Clamav), DoS Program (Panda), Perl/DoS.Httux (Nod32)

Descripcin agregada 24 abr 2007

Comportamiento

DoS

Detalles tcnicos Daos Instrucciones de eliminacin

Detalles tcnicos Programa nocivo destinado a realizar ataques DoS (Denial of Service) contra un servidor remoto. Es una secuencia de instrucciones nocivas escrita en Perl. Su tamao es de 928 bytes. Daos

Aprovechando la vulnerabilidad de rebalsamiento del buffer durante el procesamiento de una solicitud incorrecta al servidor web TUX, el programa nocivo ejecuta ataques DoS contra un ordenador remoto. La direccin del ordenador a ser atacado la indica el delincuente al iniciar el programa. Como resultado del funcionamiento del programa, en el servidor atacado pueden surgir problemas con los servicios de red.

Instrucciones de eliminacin

Si su ordenador no contaba con la proteccin de un antivirus y se contagi con la nueva versin de este programa nocivo, siga las siguientes instrucciones para eliminarlo: 1. 2. Eliminar el archivo original del programa nocivo (su ubicacin en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador). Hacer un anlisis completo del ordenador usando Kaspersky Anti-Virus con las ltimas actualizaciones de sus bases antivirus (Descargar versin de prueba).

Exploit.PHP.Inject.f
Deteccin agregada 15 jun 2007 14:14 GMT

Actualizacin lanzada 15 jun 2007 15:36 GMT

Descripcin agregada 11 jul 2007

Comportamiento

Exploit

Detalles tcnicos Daos Instrucciones de eliminacin

Detalles tcnicos Exploit destinado a robar informacin confidencial de las bases de datos de las aplicaciones Web. Es una secuencia de instrucciones PHP (fichero PHP). Su tamao es de 1610 bytes. No est empaquetado de ninguna forma. Est escrito en PHP. Daos

El programa nocivo utiliza una vulnerabilidad que permite implementar una solicitud SQL como parmetro de aplicacin Web. Esta modificacin de la secuencia de instrucciones efecta la solicitud en la base de datos del sitio especializado en transferencias de dinero:

http://www.onlinefx.co.uk
El objetivo del delincuente es recibir informacin sobre las transacciones de los clientes. Los datos obtenidos se guardan en los siguientes ficheros, dependiendo de su modificacin:

trans1.txt orders.txt

Instrucciones de eliminacin

Si su ordenador no contaba con la proteccin de un antivirus y se contagi con la nueva versin de este programa nocivo, siga las siguientes instrucciones para eliminarlo: 1. 2. Eliminar el archivo original del programa nocivo (su ubicacin en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador). Hacer un anlisis completo del ordenador usando Kaspersky Anti-Virus con las ltimas actualizaciones de sus bases antivirus (Descargar versin de prueba).

Email-Flooder.Win32.FriendGreetings

Alias

Email-Flooder.Win32.FriendGreetings (Kaspersky Lab) Tambin conocido como: Flooder.MailSpam.FriendGreetings (Kaspersky Lab), W32.Friendgreet.worm (NAV), I-Worm/Siyam (AVG)

Descripcin agregada 10 jul 2006

Comportamiento

Flooder

Detalles tcnicos

Advert.FriendGreetings es una tarjeta postal de correo electrnico que una vez instalada, a diferencia de otros programas similares, enva correos-e a todas las direcciones encontradas en la libreta de direcciones de Microsoft del ordenador de la vctima. Esta caracterstica desagradable hizo que algunas compaas antivirus clasifiquen este programa como "gusano". Si un usuario hace clic en el vnculo que encontr en el correo electrnico el proceso de instalacin comienza. Durante la instalacin, el programa exhibe un certificado de autenticidad. Si el usuario acepta la firma electrnica, tiene la opcin de mirar el acuerdo de licencia (EULA). Si un usuario cualquiera discrepa con el acuerdo de licencia o no confa en el certificado, la instalacin del programa termina. Certificado de autenticidad: verifying "safe content"!

Cuando un usuario acepta el acuerdo de licencia (haciendo clic en el recuadro Yes) el programa est instalado en su ordenador y Advert.FriendGreetings" procede a enviar mensajes a todas las direcciones que encuentra en la libreta de direcciones de Microsoft Outlook. Acuerdo de

licencia Los mensajes de correo muestran lo siguiente: Subject: %recipient% you have an E-Card from %sender%. Message: Greetings! %sender% has sent you an E-Card -- a virtual postcard from FriendGreetings.com. You can pickup your ECard at the FriendGreetings.com by clicking on the link below. http:/ /www.friendgreetings.com/pickup/pickup.aspx? Message: -----------------------------------------------------------%recipient%M I sent you a greeting card. Please pick it up. %sender% -----------------------------------------------------------When this software installs it adds the following registry keys: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "PMedia"="C:\Program Files\Common Files\Media\winsrvc.exe"

Nuker.Win32.Nonuker

Alias

Nuker.Win32.Nonuker (Kaspersky Lab) Tambin conocido como: Trojan Horse (NAV), Trojan.Retro (DrWeb), Troj/WinNukeC (Sophos), Trojan:Win32/Nuker.E (RAV), TROJ_NUKER.E (PCCIL), Win95:NukeC (AVAST), Trojan.Win32.Nuker.E (BitDef7), Nuker.Nonuke (Clamav), Trj/W32.Nuker.C (Panda), Win32/ Nuker.e (Nod32)

Descripcin agregada 24 oct 2006

Comportamiento

Nuker

Detalles tcnicos Daos Instrucciones de eliminacin

Detalles tcnicos Es un programa que "escucha" el puerto 139. Es una aplicacin para Windows (Archivo PE EXE). Tiene un tamao de 238.592 bytes. Est escrito en Borland Delphi. Daos

El programa se usa para la depuracin o investigacin de los programas de red que funcionan en el puerto 139. Tiene la siguiente interfaz grfica:

El programa tiene tres elementos grficos del tipo CommandButton:

"Activate" inicia la "audicin del puerto 139 "About" visualiza el siguiente mensaje:

- "Deactivate" finaliza la "audicin del puerto 139. El programa pasa al rgimen de espera.

Instrucciones de eliminacin 1. 2. Eliminar el archivo original del troyano (su ubicacin en el ordenador infectado depende del modo en que el troyano haya penetrado en el equipo). 2. Hacer un anlisis completo del ordenador usando Kaspersky Anti-Virus con las ltimas actualizaciones de sus bases antivirus (Descargar versin de prueba).

V. Non-malware

Programas afines a los programas maliciosos


Esta categora es difcil de definir, ya que incluye cualquier programa legal que los hackers pueden usar para penetrar a un ordenador. Es imposible predecir qu programas entrarn en esta categora, ya que todo depende del ingenio que demuestre la comunidad informtica clandestina. Una vez que un hacker identifica un programa que puede serle til, puede cargarlo sin el conocimiento o consentimiento del usuario a su equipo y tomar el control del mismo, sin ser detectado por los antivirus u otro software de seguridad. Si se usa hbilmente un programa legal para fines ilegales, puede ser en extremo difcil detectarlo.

Marcadores (dialers) Descargadores (downloaders) Servidores FTP Servidores proxy Servidores Telnet Servidores Web Clientes de IRC Herramientas de recuperacin de contraseas (PSWTool) Herramientas de administracin remota (RemoteAdmin) Herramientas Crackers Bromas pesadas y mensajes falsos

Marcadores (dialers)
Estos programas no causan dao al equipo en que son instalados. Sin embargo, si no son detectados y eliminados, pueden causar serias consecuencias financieras. Los propietarios de sitios web usan estos programas para hacer que los equipos infectados efecten llamadas a sitios (telfonos) de pago. Con gran

frecuencia son sitios pornogrficos. Aunque no se causan daos al ordenador, una gran factura de telfono hace que estos programas no sean del agrado de los propietarios de ordenadores y redes. Los marcadores son de dos tipos: Marcadores troyanos y marcadores maliciosos. Los marcadores troyanos se instalan sin el conocimiento ni el consentimiento del usuario y hacen llamadas a sitios de pago de forma automtica. Los marcadores peligrosos, por otra parte, notifican al usuario sobre las llamadas que se estn haciendo y su coste. Estos marcadores pueden ser desinstalados usando procedimientos estndard. Se puede clasificar como malicioso a este segundo grupo, ya que la instalacin inicial ocurre sin el consentimiento del usuario. Sin embargo, dan al usuario la posibilidad de decidir las acciones a realizar.

Descargadores (downloaders)
Incluso los gestores de descarga (downloaders) pueden ser peligrosos, porque por lo general se programan para funcionar en segundo plano, sin la intervencin directa del usuario. Para un hacker es fcil sustituir los enlaces para dirigir al programa hacia recursos infectados, haciendo que los programas maliciosos sean descargados al equipo vctima sin que el usuario se d cuenta.

Servidores FTP
Son utilidades que se pueden usar para obtener acceso a archivos remotos. Una vez que un hacker las instala en un sistema, hace posible que los usuarios remotos descarguen cualquier archivo del equipo vctima y monitoreen las actividades en el ordenador infectado.

Servidores proxy
Estas utilidades en un principio se disearon para proteger las redes internas, separando las direcciones internas de los usuarios externos. No obstante, los hackers las usan para conectarse a Internet de forma annima. La direccin real del hacker se sustituye por la direccin del servidor proxy.

Servidores Telnet
Estas utilidades se disearon para proporcionar acceso remoto a los recursos ubicados en otros equipos. Los hackers las usan para obtener acceso total a los equipos vctimas.

Servidores Web
Los servidores web proporcionan acceso a las pginas web ubicadas en un rea determinada del sistema de archivos. Los hackers las usan para obtener acceso irrestricto al sistema de archivos del equipo de la vctima.

Clientes de IRC
Estas utilidades proporcionan acceso a los canales de IRC. Muchos clientes de IRC, en particular mIRC, incorporan potentes lenguajes de script que automatizan al cliente IRC. Esta prestacin se puede explotar para escribir troyanos y gusanos de IRC. Mientras instalan un troyano IRC en un equipo vctima, los hackers con frecuencia tambin instalan un cliente IRC.

Monitor
Son utilidades legales que monitorean las actividades del ordenador y del usuario. En el mercado existen versiones comerciales de este tipo de utilidad. Normalmente, la informacin de las actividades se guarda en el disco duro o se enva a las direcciones de correo electrnico especificadas. Los programas de monitoreo se

diferencian de los troyanos espas slo en que stos no disimulan su presencia en el sistema y es posible desinstalarlos.

Herramientas de recuperacin de contraseas (PSWTool)


Sirven para recuperar contraseas perdidas u olvidadas. Por lo general, muestran informacin sobre la contrasea en la pantalla, o la guardan en el disco duro. Cuando se realiza un ataque, esta informacin es enviada al atacante remoto.

Herramientas de administracin remota (RemoteAdmin)


Estas herramientas de administracin remota proporcionan a los hackers un control completo sobre el equipo vctima.

Herramientas
Esta categora incluye otros programas gratuitos o comerciales que con frecuencia se usan con fines maliciosos.

Crackers
Estos programas no son virus ni troyanos, sino herramientas que usan los hackers para "piratear" diferentes tipos de software. Por lo general no representan peligro para los programas instalados y su funcin se reduce a eliminar la proteccin contra copia o introducir una clave "pirateada" en los programas.

Bromas pesadas y mensajes falsos (Hoaxes)


Este grupo incluye programas que no causan ningn dao directo a los equipos que infectan. No obstante, muestran advertencias falsas sobre supuestos daos ocurridos o por ocurrir. Pueden ser mensajes advirtiendo a los usuarios de que los discos se han formateado, que se ha encontrado un virus o se han detectado sntomas de infeccin. Las posibilidades son limitadas slo por el sentido del humor del autor del virus.