introduccion
Debido algunas consultas de los compas sobre nuevas amenazas o virus de la red intentare informar sobre ellas,tratando de mostrar algunos virus que se van descubriendo...Basado especialmente en informes de dos de las principales empresas de antivirus AVIRA Y SOPHOS.
generalidades
Información sobre virus
Adware
Adware es un software que visualiza en pantalla banners o ventanas emergentes con mensajes publicitarios adicionales a la funcionalidad en sí. Normalmente, la aparición de esta publicidad no puede desactivarse y por lo tanto casi siempre es visible. Ya los datos de conexión permiten sacar muchas conclusiones sobre el comportamiento de utilización y son problemáticos desde el punto de vista de la protección de datos.
Backdoors
Un backdoor (en español: puerta trasera) es capaz de entrar en un PC saltándose la seguridad de acceso. Un programa que se ejecuta de manera oculta otorga al atacante en la mayoría de los casos derechos prácticamente ilimitados. Con el backdoor se pueden espiar los datos personales del usuario, pero se utilizan normalmente para instalar otros virus o gusanos informáticos en el sistema afectado.
Virus de boot
El sector de arranque o el sector de arranque maestro de los discos duros es infectado con predilección por los virus de boot. Sobrescriben información importante para el inicio del sistema. Una de las desagradables consecuencias: ya no puede cargarse el sistema operativo...
Botnet
Por botnet se entiende una red de PCs controlable a distancia (en Internet) compuesta por bots (robots de software) que se comunican entre ellos. Este control se alcanza mediante virus y troyanos que infectan el PC y esperan posteriormente a instrucciones sin causar daños en el sistema infectado. Estas redes pueden usarse para propagar spam, realizar ataques DDoS (denegación de servicio distribuido), etc., en parte sin que el usuario del PC afectado lo descubra. El peligro principal de las redes de robots de software es que pueden llegar a estar formadas por miles de PCs y la suma de su tráfico generado puede agotar el ancho de banda de la mayoría de los accesos convencionales a Internet.
Dialer
Un dialer (en español: programa de marcación) es un programa informático que establece una conexión a través de la red analógica telefónica o la red digital RDSI con Internet u otra red de PCs. Los estafadores utilizan programas de marcación telefónica con coste para facturar a los usuarios elevados cargos de conexión marcando un número en Internet sin su conocimiento.
Ataque distribuido de denegación de servicio (DDoS)
Las botnets también son capaces por lo general de atacar servidores: enviando a un servidor a la vez numerosas solicitudes de varios clientes infectados ralentizan el servidor. El servidor ya no puede seguir contestando de forma periódica las solicitudes de los usuarios.
Archivo de prueba EICAR
El archivo de prueba EICAR es un patrón de prueba desarrollado por el European Institute for Computer Antivirus Research (Instituto Europeo para la Investigación de Antivirus Informáticos) con cuya ayuda pueden comprobarse las funciones de los programas antivirus. Se trata de un archivo de texto de 68 caracteres de longitud con la terminación de archivo "COM", que debería ser identificado por todos los escáneres de virus como virus.
Exploit
Un exploit (punto inseguro) es un programa informático o script que aprovecha debilidades específicas o fallos de funcionamiento de un sistema operativo o programa. Una forma de exploit son ataques desde Internet con la ayuda de paquetes de datos manipulados, que se aprovechan de puntos vulnerables del software de red. Por ellos pueden infiltrarse programas con los que es posible obtener un acceso más amplio.
Grayware
El grayware trabaja de forma parecida al malware, aunque no se extiende con el objetivo de causar daños a los usuarios directamente. No afecta a la funcionalidad básica del sistema. En la mayoría de los casos se recogen informaciones sobre el comportamiento de utilización, bien para vender estos datos o para colocar publicidad de forma selectiva.
Hoaxes
(Del inglés "hoax": engaño, broma, travesura). Desde hace unos años los usuarios de Internet y otras redes reciben alertas de virus que se supone se han extendido vía email. Estas advertencias se propagan a través del correo electrónico con la solicitud de ser reenviadas a la mayor cantidad posible de colegas u otros usuarios con el fin de advertir a todo el mundo del "peligro".
Honeypot
Un honeypot (tarro de miel) es un servicio instalado en una red (programa o servidor) que tiene la finalidad de supervisar una red y protocolizar los ataques. Este servicio es desconocido para el usuario legítimo y por ello nunca se accede a él. Si un atacante examina una red en busca de puntos débiles y usa los servicios ofrecidos por un honeypot, es protocolizado y se dispara una alarma.
Keylogger
Un keylogger (en español: "registrador de teclas") es un hardware o un software que cuenta con la capacidad de protocolizar todas las tareas del usuario y con ello supervisarlas o reconstruirlas. Así pueden espiarse datos personales secretos como contraseñas o PINs para ser enviados a través de Internet a otros PCs.
Macrovirus
Los macrovirus son programas de pequeñas dimensiones que se escriben en el lenguaje de macros de una aplicación (por ejemplo, WordBasic en WinWord 6.0) y que normalmente sólo pueden propagarse por documentos de esa aplicación. Por ello, también se conocen como virus de documento. Para activarse necesitan siempre que se inicie la aplicación correspondiente y que se ejecute una de las macros infectadas. A diferencia de los virus "normales", los macrovirus no atacan a archivos ejecutables sino a documentos de la aplicación anfitriona correspondiente.
Pharming
Pharming es una manipulación de los archivos host de los navegadores de red para desviar consultas a páginas web falsificadas. Es un desarrollo del clásico phishing. Los timadores que utilizan pharming gestionan una "granja" de servidores propia de grandes dimensiones que albergan los sitios Web falsificados. El pharming se ha establecido como un término general que engloba distintos tipos de ataques DNS. Una vez infectado el archivo host, se manipula selectivamente el sistema con ayuda de un troyano o un virus. La consecuencia de ello es que desde este sistema sólo puede accederse a páginas web falsificadas, incluso cuando se ha introducido la dirección web correcta.
Phishing
Phishing significa traducido al español "pescar" los datos personales del usuario de Internet. El phisher envía normalmente a sus víctimas comunicaciones aparentemente oficiales, como por ejemplo emails, que inducen a desvelar datos personales como nombres de usuario y contraseñas o claves PIN y TAN para el acceso a banca online, aprovechándose de la buena fe del usuario. Con los datos de acceso sustraídos, el estafador puede asumir la identidad de su víctima y realizar transacciones en su nombre. Una cosa está clara: los bancos y las compañías de seguros jamás solicitan el envío de números de tarjeta de crédito, PINs, claves de transferencia ni otros datos de acceso por correo electrónico, SMS ni telefónicamente.
Virus polimórficos
Los virus polimórficos son verdaderos maestros del camuflaje y del disfraz. Transforman sus propios códigos de programación y son por ello especialmente difíciles de detectar.
Virus de programa
Este virus es un programa que cuenta con la capacidad de engancharse por sí mismo a otros programas de alguna manera tras su activación con el fin de causar infecciones. Los virus se automultiplican, a diferencia de las bombas lógicas y los troyanos. Al contrario de lo que ocurre con un gusano, un virus siempre requiere de un programa portador ajeno, en el cual deposita su virulento código. No obstante, normalmente el desarrollo del programa del anfitrión mismo no se ve modificado.
Rootkit
Un rootkit es una colección de herramientas de software que, tras penetrar en el sistema informático, se instalan para encubrir los accesos del intruso, ocultar procesos y espiar datos, es decir: hacerse invisibles. Intentan actualizar software de espionaje ya instalado y reinstalar spyware eliminado.
Scareware
Scareware es un software diseñado para causar inseguridad o intimidar al usuario. Si la víctima cae en el engaño y se siente amenazada, se le ofrece a menudo previo pago un remedio contra el peligro inexistente. En otros casos la víctima que cree en la agresión es inducida a tomar acciones que son las que realmente permiten el ataque.
Security Privacy Risk (SPR)
Con "SPR" (riesgo de seguridad/confidencialidad) se denomina un programa que puede dañar la seguridad de su sistema, desencadenar actividades no deseadas o vulnerar su esfera personal.
Virus y gusanos de script
Estos virus son extremadamente sencillos de programar y se propagan -siempre y cuando esté disponible la técnica correspondiente- por email a nivel mundial en muy pocas horas.
Los virus y gusanos de script utilizan uno de los lenguajes de script, como por ejemplo Javascript, VBScript, etc., para por sí mismos introducirse en otros scripts diferentes o extenderse al acceder a funciones del sistema. A menudo esto tiene lugar a través del correo electrónico o del intercambio de archivos (documentos).
Por gusano se entiende un programa que se autorreproduce repetidamente pero no infecta al portador. Por lo tanto, los gusanos no pueden formar parte de otros procesos de programas. En sistemas con dispositivos de seguridad restrictivos, los gusanos son a menudo la única posibilidad de infiltrar programas dañinos.
Spyware
Spyware son los así llamados programas espía, que envían datos personales del usuario sin su conocimiento o aprobación al creador del software o a terceros. La mayoría de las veces, los programas de spyware están diseñados para analizar el comportamiento de navegación en Internet e intercalar selectivamente banners o popups emergentes publicitarios. AntiVir es capaz de detectar este tipo de software con la categoría "ADSPY" o "Adware-Spyware".
Caballos troyanos (troyanos)
Los troyanos están muy presentes en los últimos tiempos. Son programas que pretenden tener alguna función en particular pero que, al iniciarse, muestran su verdadera cara y ejecutan otra función, por lo general, destructiva. Los caballos troyanos no se multiplican por sí mismos, lo que los diferencia de los virus y gusanos. La mayoría de ellos tienen un nombre llamativo (SEX.EXE o LEEME.EXE), pensado para incitar al usuario a ejecutarlos. En el momento en que se ejecutan se activan y, por ejemplo, formatean el disco duro. Una forma especial de troyano es un dropper, que "deja caer" virus, es decir, los planta en el sistema del PC
Zombie
Un PC zombie es un PC que está infectado por programas de malware y que permite a los hacker abusar del PC a distancia para perpetrar sus objetivos criminales. El PC infectado inicia cuando se le ordena, por ejemplo, ataques por denegación de servicio (DoS) o envía correo no solicitado (spam) o emails de suplantación de identidad (phishing).
TR/Zlob.36864 - Trojan
- TIPO Troyano
- DESCUBIERTO 20/10/2010
- RIESGO Medio
- PROPAGACION Medio-alto
- TAMAÑO 36.864 Bytes
General Métodos de propagación:
• Función de autoejecución
• Correo electrónico
• Messenger
Alias:
• Kaspersky: Trojan-Spy.Win32.Zbot.ahhv
• F-Secure: Trojan-Spy:W32/Zbot.PTA
• Bitdefender: Trojan.Agent.AQTU
• Eset: Win32/AutoRun.Agent.WF
• DrWeb: Trojan.DownLoad1.37520
Plataformas / Sistemas operativos:
• Windows NT
• Windows 2000
• Windows XP
• Windows 2003
• Windows Vista
• Windows 7
Efectos secundarios:
• Posibilita el acceso no autorizado al ordenador
• Reduce las opciones de seguridad
• Suelta un fichero
• Modificaciones en el registro
• Roba informaciones
Ficheros Se copia a sí mismo en las siguientes ubicaciones:
• %TEMP%\%serie de caracteres aleatorios%.exe
• %disquetera%\%serie de caracteres aleatorios%\%serie de caracteres aleatorios%.exe
Elimina la copia inicial del virus.
Crea los siguientes ficheros:
– C:\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
• %código que ejecuta malware%
– %disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
• %código que ejecuta malware%
Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "Windows"="%temp%\%serie de caracteres aleatorios%.exe"
Añade la siguiente clave al registro:
– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
{36A5A0DB-297E-FDE2-0501-060104070800}]
• "StubPath"="%temp%\%serie de caracteres aleatorios%.exe"
Messenger Se propaga por Messenger. Sus características están descritas a continuación:
– Windows Live Messenger
La URL remite a una copia del program malicioso descrito. Si el usuario descarga y ejecuta este fichero, el proceso de infección volverá a iniciarse.
Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
• http://free**********.biz:80
• http://upd**********.com:80
• http://upd**********.com:80
De esta forma puede enviar informaciones.
Envía informaciones acerca de:
• Nombre del ordenador
• Usuario actual
• Nombre de usuario
• Informaciones acerca del sistema operativo Windows
Inyectar el código viral en otros procesos – Se inyecta como un hilo de ejecución remoto en un proceso.
Nombre del proceso:
• explorer.exe
WORM/Rimecud.B.675 - Worm
- TIPO Gusano
- RIESGO Medio-bajo
- DESCUBIERTO 06/08/2010
- PROPAGACION Bajo
- TAMAÑO 141.312 Bytes
General Alias:
• Kaspersky: P2P-Worm.Win32.Palevo.atba
• TrendMicro: TROJ_CRYPTIC.CM
• F-Secure: P2P-Worm.Win32.Palevo.atba
• Bitdefender: Win32.Worm.Rimecud.Y
• Grisoft: Cryptic.ATE
• Eset: Win32/Peerfrag.IB worm
• DrWeb: Win32.HLLW.Lime.18
Plataformas / Sistemas operativos:
• Windows 2000
• Windows XP
• Windows 2003
• Windows Vista
• Windows Server 2008
• Windows 7
Efectos secundarios:
• Modificaciones en el registro
Ficheros Se copia a sí mismo en la siguiente ubicación:
• %HOME%\msgvn.exe
Registro Añade la siguiente clave al registro:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
• "Taskman"="%HOME%\msgvn.exe"
Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
• weail.wdect.ru:5111
• nali.guys4us.net:5111
• soja.NOSTY.SU:5111
Inyectar el código viral en otros procesos – Se inyecta en un proceso.
Nombre del proceso:
• Explorer.exe
WORM/Agent.40960.49 - Worm
- TIPO Gusano
- RIESGO Medio-bajo
- PROPAGACION Medio-bajo
- TAMAÑO 40.960 Bytes
- DESCUBIERTO 20/10/2010
General Método de propagación:
• Función de autoejecución
Alias:
• Symantec: W32.SillyFDC
• Mcafee: Swisyn.p
• Kaspersky: Worm.Win32.AutoRun.bglp
• TrendMicro: WORM_AUTORUN.TAJ
• Sophos: Mal/VB-BQ
• Avast: Win32:VB-OLG
• Microsoft: Worm:Win32/Autorun.WZ
• Panda: W32/Autorun.JVV
• PCTools: Net-Worm.SillyFDC!rem
• VirusBuster: Worm.AutoRun.APBT
• Eset: Win32/AutoRun.VB.LQ
• Sunbelt: Worm.Win32.Autorun.wz (v)
• Authentium: W32/Autorun.WX
• DrWeb: Win32.HLLW.Autoruner.23571
• Fortinet: W32/VB.BQ
• Ikarus: Worm.Win32.AutoRun
• Norman: W32/Smallworm.JEP
Plataformas / Sistemas operativos:
• Windows 2000
• Windows XP
• Windows 2003
• Windows Vista
• Windows Server 2008
• Windows 7
Efectos secundarios:
• Descarga ficheros
• Modificaciones en el registro
Ficheros Se copia a sí mismo en las siguientes ubicaciones:
• %WINDIR%\winlogon.exe
• %disquetera%\DrivesGuideInfo\autorun.exe
• %disquetera%\DrivesGuideInfo\S-1-7-21-1439977401-7444491467-600013330-9141\autorun.exe
Crea el siguiente fichero:
– %disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
• %código que ejecuta malware%
Registro Añade uno de los siguientes valores a cada clave del registro, para ejecutar los procesos al reiniciar el sistema:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "NVIDIA Media Center Library"="%WINDIR%\winlogon.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "NVIDIA Media Center Library"="%WINDIR%\winlogon.exe"
Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Visual Basic.
TR/Drop.VB.AQZ.29 - Trojan
- TIPO Troyano
- RIESGO Medio-bajo
- PROPAGACION Bajo
- DESCUBIERTO 19/08/2010
- TAMAÑO 49.152 Bytes
General Alias:
• Sophos: Mal/Behav-035
• Bitdefender: Trojan.Dropper.VB.AQZ
• Panda: W32/Esfury.G.worm
• Eset: Win32/AutoRun.VB.RO
Plataformas / Sistemas operativos:
• Windows 2000
• Windows XP
• Windows 2003
Efectos secundarios:
• Descarga un fichero dañino
• Suelta ficheros dañinos
• Modificaciones en el registro
Ficheros Se copia a sí mismo en la siguiente ubicación:
• %WINDIR%\svchost\svchost.exe
Crea el siguiente fichero:
– %WINDIR%\svchost\robot.txt
Intenta descargar un fichero:
– La dirección es la siguiente:
• http://www.hitsihirbazi.net/**********/
Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Dakika"="%WINDIR%\svchost\svchost.exe"
Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Visual Basic.
Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.
TR/VB.aglp - Trojan
- TIPO Troyano
- RIESGO Medio-bajo
- PROPAGACION Bajo
- TAMAÑO 49.152 Bytes
- DESCUBIERTO 16/06/2010
General Alias:
• Bitdefender: Trojan.Generic.4193254
• Panda: W32/Esfury.H.worm
• Eset: Win32/AutoRun.VB.QI
Plataformas / Sistemas operativos:
• Windows 2000
• Windows XP
• Windows 2003
Efectos secundarios:
• Descarga ficheros dañinos
• Suelta ficheros dañinos
• Modificaciones en el registro
Ficheros Se copia a sí mismo en la siguiente ubicación:
• %HOME%\Administrator1\winlogon.exe
Intenta descargar algunos ficheros:
Intenta ejecutar el siguiente fichero:
– Ejecuta uno de los ficheros siguientes:
• "C:\Documents and Settings\Administrator\Administrator1\winlogon.exe"
Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "NVIDIA Media Center Library"="%HOME%\Administrator1\winlogon.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "NVIDIA Media Center Library"="%HOME%\Administrator1\winlogon.exe"
Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Visual Basic.
Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.
TR/VB.ahyp - Trojan
- TIPO Troyano
- RIESGO Medio-bajo
- PROPAGACION Bajo
- DESCUBIERTO 22/07/2010
- TAMAÑO 45.056 Bytes
General Alias:
• Bitdefender: Trojan.Generic.4202074
• Panda: W32/Brontok.KZ.worm
• Eset: Win32/AutoRun.VB.QI
Plataformas / Sistemas operativos:
• Windows 2000
• Windows XP
• Windows 2003
Efectos secundarios:
• Descarga un fichero dañino
• Suelta ficheros dañinos
• Modificaciones en el registro
Ficheros Se copia a sí mismo en la siguiente ubicación:
• %HOME%\Administrator1\winlogon.exe
Intenta descargar un fichero:
– Las direcciones son las siguientes:
• http://0-1-0-0-0-0-0-0-0-1-0-1-1-1-1-1-0-1-1-1-1-1-0-1-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-53-0-0-0-0-0-0-0-0-0-0-0-0-0.info/**********
• http://0-0-0-1-0-1-1-0-1-0-1-0-0-1-1-0-0-1-0-1-0-1-1-0-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-18-0-0-0-0-0-0-0-0-0-0-0-0-0.info/**********
• http://0-0-1-0-1-1-1-1-1-0-1-0-1-1-1-1-0-0-0-0-0-1-1-1-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-39-0-0-0-0-0-0-0-0-0-0-0-0-0.info/**********
• http://0-1-0-0-1-0-0-0-1-0-1-1-0-1-1-1-1-0-1-1-1-0-0-0-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-60-0-0-0-0-0-0-0-0-0-0-0-0-0.info/**********
Intenta ejecutar el siguiente fichero:
– Ejecuta uno de los ficheros siguientes:
• "C:\Documents and Settings\Administrator\Administrator1\winlogon.exe"
Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "NVIDIA Media Center Library"="%HOME%\Administrator1\winlogon.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "NVIDIA Media Center Library"="%HOME%\Administrator1\winlogon.exe"
Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Visual Basic.
Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.
TR/VB.agki - Trojan
- TIPO Troyano
- RIESGO Medio-bajo
- PROPAGACION Bajo
- TAMAÑO 45.056 Bytes
- DESCUBIERTO 15/06/2010
General Alias:
• Bitdefender: Trojan.Generic.4193647
• Panda: W32/Esfury.B.worm
• Eset: Win32/AutoRun.VB.QI
Plataformas / Sistemas operativos:
• Windows 2000
• Windows XP
• Windows 2003
Efectos secundarios:
• Descarga ficheros dañinos
• Suelta ficheros dañinos
• Modificaciones en el registro
Ficheros Se copia a sí mismo en la siguiente ubicación:
• %HOME%\Administrator1\winlogon.exe
Intenta ejecutar el siguiente fichero:
– Ejecuta uno de los ficheros siguientes:
• "C:\Documents and Settings\Administrator\Administrator1\winlogon.exe"
Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "NVIDIA Media Center Library"="%HOME%\Administrator1\winlogon.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "NVIDIA Media Center Library"="%HOME%\Administrator1\winlogon.exe"
Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Visual Basic.
Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.
TR/Agent.AQTK - Trojan
- TIPO Troyano
- RIESGO Medio
- PROPAGACION Bajo
- TAMAÑO 110.240 Bytes
- DESCUBIERTO 20/10/2010
Alias:
• Mcafee: Spy-Agent.y
• Kaspersky: Trojan-Spy.Win32.Agent.bjfd
• TrendMicro: TSPY_AGENT.WCR
• F-Secure: Trojan.Agent.AQTK
• Sophos: Troj/Agent-PAT
• Bitdefender: Trojan.Agent.AQTK
• Microsoft: Backdoor:Win32/Agent.GJ
• VirusBuster: TrojanSpy.Agent2.AFQW
• Eset: Win32/AutoRun.Agent.XF
• GData: Trojan.Agent.AQTK
• AhnLab: Win-Trojan/Agent.110240
• Authentium: W32/Agent.JGL
• DrWeb: Trojan.DownLoader1.18778
• Fortinet: W32/Agent.BJFD!tr
• Norman: W32/Agent.UZOM
Plataformas / Sistemas operativos:
• Windows 2000
• Windows XP
• Windows 2003
• Windows Vista
• Windows Server 2008
• Windows 7
Ficheros Se copia a sí mismo en la siguiente ubicación:
• %TEMPDIR%\%ficheros ejecutados%.exe
Crea los siguientes ficheros:
– %TEMPDIR%\rat_files\%fecha actual%_%tiempo actual%_%nombre del usuario actual%\File-Paths.txt
– %TEMPDIR%\rat_files\%fecha actual%_%tiempo actual%_%nombre del usuario actual%\SystemInfo.txt
Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
• ftp://admin:qwerty@your.ho****:21
De esta forma puede enviar informaciones.
Envía informaciones acerca de:
• Nombre del ordenador
• Velocidad del procesador
• Tipo del procesador
• Usuario actual
• Espacio libre en el disco
• Memoria disponible
• Hardware
• Dirección IP
• Informaciones acerca de los procesos del sistema
• Tamaño de la memoria
• Nombre de usuario
• Informaciones acerca del sistema operativo Windows
Informaciones diversas Para buscar una conexión a Internet, contacta el siguiente sitio web:
• whatismyip.org
Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• UPX
En otra entrada seguiremos incluyendo nuevos virus
INFO AVIRA
No hay comentarios:
Publicar un comentario