Siguiendo con los informes de los nuevos virus encontrados aca les dejo la informacion desde AVIRA..
TR/Kryptik.NC.1
- Tipo Troyano
- propagacion Bajo
- Potencial dañino: Medio-bajo
- Tamaño: 319.488 Bytes
- Descubierto:10/03/2011
General Método de propagación:
• No tiene rutina propia de propagación
Alias:
• Eset: Win32/Kryptik.LJY
Plataformas / Sistemas operativos:
• Windows XP
• Windows 2003
• Windows Vista
• Windows Server 2008
• Windows 7
Efectos secundarios:
• Suelta ficheros
• Falsley informa sobre la infección del malware o sobre los problemas del sistema, y ofrece la opción de arreglarlos si el usuario adquiere la aplicación.
• Modificaciones en el registro
• Función “trampa de precios”: se engaña al usuario para que
Inmediatamente después de su ejecución, muestra la siguiente información:
Ficheros Se copia a sí mismo en la siguiente ubicación:
• %HOME%\Local Settings\Application Data\odp.exe
Modifica el siguiente archivo:
• %HOME%\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
Elimina la copia inicial del virus.
Crea los siguientes ficheros:
– Ficheros no maliciosos:
• %HOME%\Local Settings\Application Data\%números aleatorios%
• %ALLUSERSPROFILE%\Application Data\%números aleatorios%
• %TEMPDIR%\%números aleatorios%
• %HOME%\Templates\%números aleatorios%
Registro Añade las siguientes claves al registro:
– [HKCR\.exe\DefaultIcon]
• "(Default)"="%1"
– [HKCR\.exe\shell\open\command]
• "(Default)"="\"%HOME%\Local Settings\Application Data\odp.exe\" -a \"%1\" %*"
• "IsolatedCommand"="\"%1\" %*"
– [HKCR\.exe\shell\runas\command]
• "(Default)"="\"%1\" %*"
• "IsolatedCommand"="\"%1\" %*"
Modifica las siguientes claves del registro:
– [HKCR\.exe]
Nuevo valor:
• "(Default)"="exefile"
• "Content Type"="application/x-msdownload"
– [HKCR\exefile\DefaultIcon]
Nuevo valor:
• "(Default)"="%1"
– [HKCR\exefile\shell\open\command]
Nuevo valor:
• "(Default)"="\"%HOME%\Local Settings\Application Data\odp.exe\" -a \"%1\" %*"
• "IsolatedCommand"="\"%1\" %*"
– [HKCR\exefile\shell\runas\command]
Nuevo valor:
• "(Default)"="\"%1\" %*"
• "IsolatedCommand"="\"%1\" %*"
– [HKLM\SOFTWARE\Clients\StartMenuInternet]
Nuevo valor:
• "(Default)"="IEXPLORE.EXE"
– [HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\
command]
Nuevo valor:
• "(Default)"="\"%HOME%\Local Settings\Application Data\odp.exe\" -a \"%PROGRAM FILES%
• \Intern"
– [HKCU\Software\Microsoft\Windows]
Nuevo valor:
• "Identity"=dword:c99b2ad2
JAVA/Agent.10515
- Tipo Java
- Potencial de propagación:Bajo
- Potencial dañino:Medio-bajo
- Descubierto:11/03/2011
Método de propagación:
• No tiene rutina propia de propagación
Plataformas / Sistemas operativos:
• Windows 2000
• Windows XP
• Windows 2003
• Windows Vista
• Windows Server 2008
• Windows 7
• Linux
• Unix
• OS/2
• Mac
Efectos secundarios:
• Emplea vulnerabilidades de software
• CVE-2010-0094
Vulnerabilidad no especificada en el componente Java Runtime Environment en Oracle Java SE y Java 6 Update para las empresas 18 y 5.0 Update 23 permite a atacantes remotos afectar a la confidencialidad, integridad y disponibilidad a través de vectores desconocidos. NOTA: la información anterior se obtuvo a partir de marzo de 2010 de la CPU. Oracle no ha hecho comentarios sobre las declaraciones de un investigador confiable que esto se debe a los controles privilegio desaparecidos durante la deserialización de objetos RMIConnectionImpl, que permite a atacantes remotos para llamar a funciones de nivel de sistema de Java a través del cargador de clases de un constructor que se va a deserializar.
TR/Agent.ARHD.15
- Tipo:Troyano
- Potencial dañino:Medio-bajo
- descubierto:07/03/2011
- tamaño:233.472 Bytes
General Método de propagación:
• No tiene rutina propia de propagación
Alias:
• F-Secure: Trojan.Agent.ARHD
• Bitdefender: Trojan.Agent.ARHD
• Microsoft: Trojan:win32/Mariofev.B
• AVG: Agent2.CCYZ
• Grisoft: Agent2.CCYZ
• GData: Trojan.Agent.ARHD
Plataformas / Sistemas operativos:
• Windows XP
• Windows 2003
• Windows Vista
• Windows Server 2008
• Windows 7
Efectos secundarios:
• Roba informaciones
Informaciones diversas Serie de caracteres:
Además, incluye las siguientes series de caracteres:
• CPUInfo
• MemInfo
• Country
• OS info
Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.
TR/Kazy.1438
- Tipo:troyano
- Potencial dañino:medio-bajo
- descubierto:21/12/2010
- tamaño:163.840 Bytes
Método de propagación:
• No tiene rutina propia de propagación
Alias:
• Mcafee: BackDoor-EXI
• Kaspersky: Trojan.Win32.Swisyn.anqx
• TrendMicro: BKDR_CYCBOT.SME
• F-Secure: Trojan.Hiloti.BO
• Sophos: Mal/Gbot-B
Plataformas / Sistemas operativos:
• Windows 2000
• Windows XP
• Windows 2003
• Windows Vista
• Windows 7
Efectos secundarios:
• Suelta ficheros
• Modificaciones en el registro
• Roba informaciones
Ficheros Se copia a sí mismo en la siguiente ubicación:
• %APPDATA%\Microsoft\svchost.exe
– %APPDATA%\Microsoft\stor.cfg
Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "svchost"="%APPDATA%\Microsoft\svchost.exe"
Añade la siguiente clave al registro:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
• "ProxyServer"="http=127.0.0.1:50370"
Modifica las siguientes claves del registro:
– [HKLM\SYSTEM\ControlSet001\Hardware Profiles\0001\Software\
Microsoft\windows\CurrentVersion\Internet Settings]
Nuevo valor:
• "ProxyEnable"=dword:00000001
– [HKLM\SYSTEM\ControlSet001\Hardware Profiles\Current\Software\
Microsoft\windows\CurrentVersion\Internet Settings]
Nuevo valor:
• "ProxyEnable"=dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\
Microsoft\windows\CurrentVersion\Internet Settings]
Nuevo valor:
• "ProxyEnable"=dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current\Software\
Microsoft\windows\CurrentVersion\Internet Settings]
Nuevo valor:
• "ProxyEnable"=dword:00000001
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
Nuevo valor:
• "ProxyEnable"=dword:00000001
Backdoor (Puerta trasera) Abre el siguiente puerto:
– %ficheros ejecutados% en el puerto TCP 50370 para funcionar como servidor proxy.
Informaciones diversas Accede a recursos de Internet:
• http://1.ctrl.qudeteyuj.cn/gbot/**********
• http://qudeteyuj.cn/gbot/**********
Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.
JAVA/Exdoer.E
- Tipo: Malware
- Potencial dañino:medio-bajo
- descubierto:14/03/2011
Método de propagación:
• No tiene rutina propia de propagación
Alias:
• Microsoft: TrojanDownloader:Java/Openconnection.J
• DrWeb: Exploit.Java.188
Plataformas / Sistemas operativos:
• Windows 2000
• Windows XP
• Windows 2003
• Windows Vista
• Windows Server 2008
• Windows 7
Efectos secundarios:
• Descarga un fichero
• Reduce las opciones de seguridad
Ficheros Intenta descargar un fichero:
– La dirección es la siguiente:
• %parámetro introducido%
El fichero está guardado en el disco duro en: %TEMPDIR%\%números aleatorios%.exe Además, este fichero es ejecutado después de haber sido completamente descargado.
Intenta ejecutar los ficheros siguientes:
– Ejecuta uno de los ficheros siguientes:
• border.class
– Ejecuta uno de los ficheros siguientes:
• object4.class
Datos del fichero Lenguaje de programación:
• Java
Codificación:
Codificado: el código del virus dentro del archivo está codificado.
info AVIRA
No hay comentarios:
Publicar un comentario