Follow by Email

martes, 15 de marzo de 2011

Informe de Virus…

Siguiendo con los informes de los nuevos virus encontrados aca les dejo la informacion desde AVIRA..

TR/Kryptik.NC.1

  • Tipo   Troyano
  • propagacion Bajo
  • Potencial dañino: Medio-bajo
  • Tamaño: 319.488 Bytes
  • Descubierto:10/03/2011

General Método de propagación:
   • No tiene rutina propia de propagación
Alias:
   •  Eset: Win32/Kryptik.LJY
Plataformas / Sistemas operativos:
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7
Efectos secundarios:
   • Suelta ficheros
   • Falsley informa sobre la infección del malware o sobre los problemas del sistema, y ofrece la opción de arreglarlos si el usuario adquiere la aplicación.
   • Modificaciones en el registro
   • Función “trampa de precios”: se engaña al usuario para que

Inmediatamente después de su ejecución, muestra la siguiente información:

Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %HOME%\Local Settings\Application Data\odp.exe
Modifica el siguiente archivo:
   • %HOME%\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
Elimina la copia inicial del virus.
Crea los siguientes ficheros:
– Ficheros no maliciosos:
   • %HOME%\Local Settings\Application Data\%números aleatorios%
   • %ALLUSERSPROFILE%\Application Data\%números aleatorios%
   • %TEMPDIR%\%números aleatorios%
   • %HOME%\Templates\%números aleatorios%
Registro Añade las siguientes claves al registro:
– [HKCR\.exe\DefaultIcon]
   • "(Default)"="%1"
– [HKCR\.exe\shell\open\command]
   • "(Default)"="\"%HOME%\Local Settings\Application Data\odp.exe\" -a \"%1\" %*"
   • "IsolatedCommand"="\"%1\" %*"
– [HKCR\.exe\shell\runas\command]
   • "(Default)"="\"%1\" %*"
   • "IsolatedCommand"="\"%1\" %*"
Modifica las siguientes claves del registro:
– [HKCR\.exe]
   Nuevo valor:
   • "(Default)"="exefile"
   • "Content Type"="application/x-msdownload"
– [HKCR\exefile\DefaultIcon]
   Nuevo valor:
   • "(Default)"="%1"
– [HKCR\exefile\shell\open\command]
   Nuevo valor:
   • "(Default)"="\"%HOME%\Local Settings\Application Data\odp.exe\" -a \"%1\" %*"
   • "IsolatedCommand"="\"%1\" %*"
– [HKCR\exefile\shell\runas\command]
   Nuevo valor:
   • "(Default)"="\"%1\" %*"
   • "IsolatedCommand"="\"%1\" %*"
– [HKLM\SOFTWARE\Clients\StartMenuInternet]
   Nuevo valor:
   • "(Default)"="IEXPLORE.EXE"
– [HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\
   command]
   Nuevo valor:
   • "(Default)"="\"%HOME%\Local Settings\Application Data\odp.exe\" -a \"%PROGRAM FILES%
   • \Intern"
– [HKCU\Software\Microsoft\Windows]
   Nuevo valor:
   • "Identity"=dword:c99b2ad2

 

JAVA/Agent.10515

  • Tipo Java
  • Potencial de propagación:Bajo
  • Potencial dañino:Medio-bajo
  • Descubierto:11/03/2011

Método de propagación:
   • No tiene rutina propia de propagación
Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7
   • Linux
   • Unix
   • OS/2
   • Mac
Efectos secundarios:
   • Emplea vulnerabilidades de software

  •  CVE-2010-0094

Vulnerabilidad no especificada en el componente Java Runtime Environment en Oracle Java SE y Java 6 Update para las empresas 18 y 5.0 Update 23 permite a atacantes remotos afectar a la confidencialidad, integridad y disponibilidad a través de vectores desconocidos. NOTA: la información anterior se obtuvo a partir de marzo de 2010 de la CPU. Oracle no ha hecho comentarios sobre las declaraciones de un investigador confiable que esto se debe a los controles privilegio desaparecidos durante la deserialización de objetos RMIConnectionImpl, que permite a atacantes remotos para llamar a funciones de nivel de sistema de Java a través del cargador de clases de un constructor que se va a deserializar.

 

TR/Agent.ARHD.15

  • Tipo:Troyano
  • Potencial dañino:Medio-bajo
  • descubierto:07/03/2011
  • tamaño:233.472 Bytes

General Método de propagación:
   • No tiene rutina propia de propagación
Alias:
   •  F-Secure: Trojan.Agent.ARHD
   •  Bitdefender: Trojan.Agent.ARHD
   •  Microsoft: Trojan:win32/Mariofev.B
   •  AVG: Agent2.CCYZ
   •  Grisoft: Agent2.CCYZ
   •  GData: Trojan.Agent.ARHD
Plataformas / Sistemas operativos:
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7
Efectos secundarios:
   • Roba informaciones
Informaciones diversas Serie de caracteres:
Además, incluye las siguientes series de caracteres:
   • CPUInfo
   • MemInfo
   • Country
   • OS info
Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

 

TR/Kazy.1438

  • Tipo:troyano
  • Potencial dañino:medio-bajo
  • descubierto:21/12/2010
  • tamaño:163.840 Bytes

Método de propagación:
   • No tiene rutina propia de propagación
Alias:
   •  Mcafee: BackDoor-EXI
   •  Kaspersky: Trojan.Win32.Swisyn.anqx
   •  TrendMicro: BKDR_CYCBOT.SME
   •  F-Secure: Trojan.Hiloti.BO
   •  Sophos: Mal/Gbot-B
Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7
Efectos secundarios:
   • Suelta ficheros
   • Modificaciones en el registro
   • Roba informaciones
Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %APPDATA%\Microsoft\svchost.exe
– %APPDATA%\Microsoft\stor.cfg
Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:
–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "svchost"="%APPDATA%\Microsoft\svchost.exe"
Añade la siguiente clave al registro:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   • "ProxyServer"="http=127.0.0.1:50370"
Modifica las siguientes claves del registro:
– [HKLM\SYSTEM\ControlSet001\Hardware Profiles\0001\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   Nuevo valor:
   • "ProxyEnable"=dword:00000001
– [HKLM\SYSTEM\ControlSet001\Hardware Profiles\Current\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   Nuevo valor:
   • "ProxyEnable"=dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   Nuevo valor:
   • "ProxyEnable"=dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   Nuevo valor:
   • "ProxyEnable"=dword:00000001
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Nuevo valor:
   • "ProxyEnable"=dword:00000001
Backdoor (Puerta trasera) Abre el siguiente puerto:
%ficheros ejecutados% en el puerto TCP 50370 para funcionar como servidor proxy.
Informaciones diversas Accede a recursos de Internet:
   • http://1.ctrl.qudeteyuj.cn/gbot/**********
   • http://qudeteyuj.cn/gbot/**********
Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

 

JAVA/Exdoer.E

  • Tipo: Malware
  • Potencial dañino:medio-bajo
  • descubierto:14/03/2011

Método de propagación:
   • No tiene rutina propia de propagación
Alias:
   •  Microsoft: TrojanDownloader:Java/Openconnection.J
   •  DrWeb: Exploit.Java.188
Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7
Efectos secundarios:
   • Descarga un fichero
   • Reduce las opciones de seguridad
Ficheros Intenta descargar un fichero:
– La dirección es la siguiente:
   • %parámetro introducido%
El fichero está guardado en el disco duro en: %TEMPDIR%\%números aleatorios%.exe Además, este fichero es ejecutado después de haber sido completamente descargado.
Intenta ejecutar los ficheros siguientes:
– Ejecuta uno de los ficheros siguientes:
   • border.class
– Ejecuta uno de los ficheros siguientes:
   • object4.class
Datos del fichero Lenguaje de programación:
• Java
Codificación:
Codificado: el código del virus dentro del archivo está codificado.

 

info AVIRA

No hay comentarios: