Añadir a la recogida (s) Añadir a salvo
  1. Ciencia
  2. Ciencias de la salud
  3. Enfermedades infecciosas

Virus SDBOT.GEN

Anuncio 
ALERTA ANTIVIRUS
Edición Nº 87
27 de Noviembre, 2003
www.pcm.gob.pe
CONTENIDO
Virus SDBOT.GEN
Virus W32/ANARCH@MM
INFORMACION DE VIRUS INFORMATICOS
La
Oficina
Nacional
de
Gobierno
Electrónico e Informática, presenta en esta
oportunidad LA ALERTA ANTIVIRUS
Nro. 87, en esta alerta damos a conocer la
información de los siguientes virus:
SDBOT.GEN, W32/ANARCH@MM,
W32/SINALA@MM, W32/MIMAIL.F@MM
y W32/HOLAR.I@MM
Las
grandes
compañías
desarrolladoras de antivirus ya han
actualizado sus definiciones para
detectar estos nuevos virus. A
continuación se presenta información
detallada respecto a éstos virus.
Virus W32/SINALA@MM
Virus SDBOT.GEN
Virus W32/MIMAIL.F@MM
Virus W32/HOLAR.I@MM
CARACTERÍSTICAS
El virus es un PE (Portable Ejecutable) e infecta al Sistema Operativo
Windows/NT/Me/2000/XP, incluyendo los servidores NT/2000/2003, con una
extensión de 22.5KB, está desarrollado en Visual C++.
Alias: W32/Sdbot.Gen, W32/Sdbot.Gen.A
MÉTODO DE INFECCIÓN
Sdbot.Gen, se propaga a través de Redes de recursos compartidos "ocultos", con
contraseñas débiles o haciendo uso de la técnica de "Ataque de Fuerza Bruta", usando
los siguientes nombres de usuarios:
admin
administrator
wwwadmin
Fuentes:
Per Systems
Panda Software
The Hacker
Central Command Antivirus
Segurinfo
database
guest
owner
root
sql
sqlagent
system
user
!@#$%^
123
asdfgh
password123
!@#$%^&
1234
hidden
secret
!@#$%^&*
123456
pass
server
Y las siguientes contraseñas:
!@#$
1
654321
pass123
!@#$%
111
asdf
password
Infecta con un archivo de nombre Service.exe, captura y envía instrucciones a través
de su propio IRC (Internet Chat Relay) al autor. Controla remotamente a los sistemas
infectados y ocasionas ataque de saturación.
EFECTOS DE LA INFECCIÓN
•
•
•
•
•
•
•
•
•
•
•
Se propaga a través de su propio motor IRC.
Captura información de la configuración del servidor y de las estaciones de
trabajo.
Intenta ingresar a los sistemas remotos con recursos compartidos ocultos.
Emplea una relación de nombres de usuarios y claves de acceso.
Controla en forma remota los sistemas infectados.
Infecta a los usuarios conectados a una misma sesión de Chat.
Envía y descarga archivos.
Se actualiza a sí mismo vía HTTP.
Se conecta a otros servidores IRC.
Se une a sesiones de canales de Chat.
Crea sus propios canales de Chat
Virus W32/ANARCH@MM
o
o
o
o
o
o
o
o
CARACTERÍSTICAS
W32/Anarch@MM es un virus que envía
mensajes masivos de emails, se envia a todos los
contactos de la libreta de direcciones de Outlook
Express, también se difunde a través de la red de
intercambio de archivos y el mIRC.
Alias: W32.HLLW.Anarch@mm, W32/Anarch
MÉTODO DE INFECCIÓN
El virus infecta principalmente mediante correo
electrónico:
Características del mensaje de E-mail:
Asunto: New Media Player!!
Cuerpo del Mensaje: Hi-This new media player
will blow you away try it!
Archivo Adjunto: M_Player_v1.0.exe
•
Luego crea una carpeta oculta llamada
SETTINGS dentro del directorio actual, en la
cual se copia a si mismo como:
o rad[caracteres aleatorio].tmp_NUDE.exe
• Seguidamente el gusano busca las siguientes
carpetas
o
o
o
o
o
o
EFECTOS DE LA INFECCIÓN
o
•
•
•
•
Cuando el gusano se ejecuta se copia a si
mismo como:
%windows%\INISvc.exe
Nota:
- %windows% representa la carpeta de
instalación de Windows (Ej. C:\WINDOWS,
C:\WINNT)
Además modifica una entrada en el registro
para poder ejecutarse en cada reinicio del
sistema:
HKEY_LOCAL_MACHINE\Software\Micr
osoft\Windows\CurrentVersion\Run
"Win_Library"="%windows%\INISvc.exe"
También modifica las siguientes entradas
para deshabilitar el acceso al registro:
o HKEY_CURRENT_USER\Software\KaZ
aA\LocalContent
o "Dir0"="012345:%system%\Data32"
o HKEY_CURRENT_USER\Software\KaZ
aA\LocalContent
o "DisableSharing"="0"
También crea la siguiente carpeta oculta
DATA32 dentro de %System% y se copia a si
mismo como:
o Rise_Of_Nations.exe
o Fake_AOL_Messenger.exe
o M_Player_v1.0.exe
o Hotmail_hack.exe
ICQ_Lite.exe
sega_emulator.exe
PS2_TO_ISO.exe
Hack_AOL_Destroy.exe
WW3_Online.exe
Anarchist_CookBook.exe
Yahoo_Messenger.exe
DVD_Wizard.exe
o
o
o
o
o
o
o
o
o
o
o
o
o
o
%ProgramFiles%\Gnucleus\Downloads
%ProgramFiles%\Grokster\my grokster
%ProgramFiles%\ICQ\Shared Folder
%ProgramFiles%\KaZaA\my
shared
folder
%ProgramFiles%\KaZaA
lite\My
Shared Folder
%ProgramFiles%\KaZaA Lite K++\my
shared folder
%ProgramFiles%\KMD\my
shared
folder
%System%\data32
C:\My Download Files
C:\My Shared Folder
%ProgramFiles%\Bearshare\shared
%ProgramFiles%\eDonkey2000\incomi
ng
%ProgramFiles%\Limewire\shared
%ProgramFiles%\mIRC\download
%ProgramFiles%\Morpheus\my shared
folder
%ProgramFiles%\Overnet\incoming
%ProgramFiles%\Rapigator\Share
%ProgramFiles%\Shareaza\Downloads
%ProgramFiles%\Tesla\Files
%ProgramFiles%\WinMX\shared
%ProgramFiles%\XoloX\Downloads
y se copia dentro de estas como:
o
o
o
o
o
o
o
o
o
o
o
ADSL_CableModem_Speedup.exe
AD_Aware_PRO.exe
Beyonce_Screensaver_NUDE.exe
Cable_Modem_Tweak.exe
CALC.EXE
Delphi_6_Serial_Works.exe
Girl_Next_Door.exe
goat.exe
Norton_SystemWorks.exe
Office_XP_Serial.exe
Port_Scan.exe
o
o
o
Seguidamente se copia a si mismo como:
Sobig_F_Sourcecode.exe
Tweak_XP.exe
Visual_Basic_6_keygen.exe
o
o
o
o
o
o
Virus W32/SINALA@MM
CARACTERÍSTICAS
W32/Sinala@MM es un virus que envía mensajes
masivos de emails se envía a todos los contactos
de la libreta de direcciones de Microsoft Outlook,
también se difunde a través de la red de
intercambio de archivos KaZaA, KaZaA Lite,
Grokster, Morpheus, Edonkey2000, WinMX, ICQ
y MSN Messenger. Esta escrito en Visual Basic y
comprimido con UPX
Alias:
W32.HLLW.Sinala@mm,
W32/Sinala,
Win32/Sinala.A, W32/Alanis.A, W32/Alanis@mm,
I.worm.alanis@mm,
W32/Alanis-A,
IWorm.Alanis W32/Generic.worm!p2p
MÉTODO DE INFECCIÓN
El virus infecta principalmente mediante correo
electrónico:
Características del mensaje de E-mail:
Asunto: [Cualquiera de la siguiente lista]
o
o
o
o
o
o
o
o
o
o
o
hay te envio el video que me pediste ta
buenazo
este es el video verdad espero que sea de tu
agrado
espero que te guste a mi me gsuto :p
el grupo esta buenazo muy buen video
Baile paso a paso aprendera a bailar rapido
Nuevos pasos viva la musica
espero que te guste los nuevos pasos
axebahia
hectlavo
trancebaile
teckno
%windows%\Cleanmgr.mcg
%windows%\molani.scr
%system%\Cleanmgr.mcg
%system%\freesoft.avi.scr
%system%\kerneldll32.api
%system%\mope.scr
Nota:
- %windows% representa la carpeta de
instalación de Windows (Ej. C:\WINDOWS,
C:\WINNT)
- %system% representa la carpeta "system"
dentro
de
Windows
(Ej.
C:\WINDOWS\SYSTEM,
C:\WINNT\SYSTEM32)
Copia los siguientes archivos en el sistema:
o
o
o
o
o
o
o
o
o
o
C:\alanis.html
C:\avril.html
C:\evan.html
C:\nemo.html
C:\pamelaXXX.html
C:\mis documentos\alanis.html
C:\mis documentos\avril.html
C:\mis documentos\evan.html
C:\mis documentos\nemo.html
C:\mis documentos\pamelaXXX.html
Finalmente el virus cada cierto tiempo revisa la
unidad A:\, en caso haya un disquete insertado
se copia como:
o
o
o
o
A:\axebah.exe
A:\Badboys!!.scr
A:\piratas.scr
A:\ring.exe
Virus W32/MIMAIL.F@MM
CARACTERÍSTICAS
Cuerpo: [en blanco]
Archivo Adjunto: Alanis.exe
EFECTOS DE LA INFECCIÓN
Cuando el archivo infectado es ejecutado se
muestra el siguiente falso mensaje de error
ERROR
¿Error Interno en la aplicacion ¡intente en
algunos momentos!
[Aceptar]
Mimail.F es un virus destructivo, residente en
memoria, de propagación masiva a través de
mensajes de correo con un archivo anexado
Sysloader32.exe, el cual libera otros archivos de
diferentes extensiones.
Es un virus PE (Portable Ejecutable) e infecta
Windows 95/98/NT/Me/2000/XP, incluyendo
los servidores NT/2000/Server 2003, está
desarrollado en MS Visual C++.
Alias: I.worm.mimail.f@mm, I-Worm.Mimail.h,
W32/Mimail-H,
W32/Mimail.h@MM,
WORM_MIMAIL.H, Mimail.H
MÉTODO DE INFECCIÓN
Virus W32/HOLAR.I@MM
El mensaje tiene las siguientes características:
CARACTERÍSTICAS
Asunto:
don't
be
espacio][caracteres_aleatorios]
late!
[30
Cuerpo:
Will meet tonight as we agreed, because on
Wednesday I don't think I'll make it,
so don't be late. And yes, by the way here is the
file you asked for.
It's all written there. See you.
[caracteres_aleatorios]
Archivo Adjunto : readnow.zip
EFECTOS DE LA INFECCIÓN
Al ser ejecutado el archivo infectado, se autocopia al directorio %Windir% con el nombre de
Sysload32.exe y para ejecutarse la próxima vez
que se re-inicie el sistema, modifica la siguiente
llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsof
t\Windows\CurrentVersion\Run]
"SystemLoad32" = "%Windir%\Sysload32.exe"
%Windir% es una variable que corresponde a
C:\Windows en Windows 95/98/Me/XP/Server
2003 y C:\Winnt en Windows NT\2000.
Al siguiente re-inicio el virus borra los siguientes
archivos en caso que éstos existan en el sistema:
o
o
o
ZIP.TMP
EXE.TMP
EML.TMP
Luego genera una copia de sí mismo en el
directorio %Windir% con la extensión EXE.TMP,
el mismo que emplea para generar otro archivo
con formato .ZIP, de nombre ZIP.TMP, el cual
contiene el código viral destructivo y que se
descomprime
con
el
nombre
de
READNOW.DOC.SCR.
Intenta
acceder
al
dominio
http://www.google.com, para comprobar si el
sistema infectado está conectado a Internet y si lo
ratifica procede a ejecutar su rutinas de
propagación y payloads.
Finalmente ocasiona saturaciones en el Protocolo
de Mensajes de Internet (Internet Control
Message Protocol) y el HTTP (HyperText
Transfer Protocol).
Es un virus que envía mensajes a través de
mensajes de correo con Asuntos y archivos
anexados, elegidos en forma aleatoria y sin
Contenido.
El gusano crea un contador de infección y
activaciones. A la trigésima ejecución colapsa los
sistemas infectados mostrando una pantalla
negra.
Posee su propio SMTP (Simple Mail Transfer
Protocol) y se auto-envía a todos los buzones de
correo de la Libreta de Direcciones de MS
Outlook y los contenidos en los archivos con
extensiones .TXT, .HTML, .HTM y .EML
Es un PE (Portable Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP,
incluyendo
los
servidores
NT/2000/Server
2003
está
desarrollado en Visual Basic 6.0 con extensiones
variables.
Alias: I-worm.Holar.I@mm
MÉTODO DE INFECCIÓN
Los mensajes de correo tienen las siguientes
características:
Asunto, uno de los siguientes:
Wait for more :)
Fw:
looool
Re:
Take a look
Check this out ;)
Never mind !
Enjoy!
You gonna love it
This is all i can send
Here is what u wanted
Have Fun :)
Cuerpo : en blanco.
Archivo Adjunto, uno de los siguientes:
See the attatched file
gift :)
Surprise!
save it for hard times
Happy Times :)
Useful
Very funny
Try it
you have to see this!
emazing!
EFECTOS DE LA INFECCIÓN
Al ejecutar el archivo infectado, el virus se copia
a la carpeta %System% con el nombre del archivo
anexado pero con la extensión .SYS. Del mismo
modo se copia a la carpeta Temporal de
Windows con los nombres de archivos
explore.exe, smtp.ocx y a.pif, pero con las
extensiones .EXE, .BAT, .SCR o .COM.
El registro de la página de Inicio del Internet
Explorer será cambiada a:
[HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main]
"Start
Page"
=
"http://www.geocities.com/yori_mrakkadi"
(URL actualmente clausurado)
Para marcar el proceso de infección y el número
de ejecuciones crea las siguientes llaves de
registro:
! have noth!na say bam st!ll
ZaCker !
Este mensaje será mostrado cada vez que se reinicie un sistema infectado.
Para propagarse a través de la red KaZaa, el
gusano se auto-copia a la carpeta de descarga
\My Share Folder con los nombres de los
archivos infectados con extensión .EXE, .PIF,
.BAT, . SCR o . COM.
[HKEY_LOCAL_MACHINE\Software\Microsof
t\Windows]
"a" = ""
[HKEY_CURRENT_USER]
"Death Time" = "[número_de_ejecuciones]"
Cuando el número de ejecuciones llega a 30, el
sistema colapsará y se mostrará en toda la
pantalla el siguiente mensaje:
‰ Se adjunta una lista de páginas web donde el usuario puede actualizar el antivirus:
Per Antivirus
http://www.persystems.net/
Sophos Antivirus
http://www.us.sophos.com/downloads/ide/
Norton Antivirus (NAV)
http://www.sarc.com/avcenter/download.html
Zap Antivirus
http://www.zapantivirus.com
ESafe
http://www.esafe.com/download/virusig.html
F-Prot
http://www.commandcom.com/html/files.html
Panda Antivirus
http://www.pandasoftware.es/
InoculateIT
http://support.cai.com/Download/virussig.html
McAfee VirusScan
http://download.mcafee.com/updates/updates.as
p
AVAST y AVAST32
http://www.antivir.com/support.htm
Thunder Byte AntiVirus (TBAV)
http://www.shark.nl/uk/downloaduk2.html
Dr. Solomon's AVTK
http://www.drsolomon.com/download/index.cf
m
The Hacker
http://www.hacksoft.com.pe/
AVG
http://www.grisoft.com/html/us_updt.cfm
IBM Antivirus
http://www.symantec.com/avcenter/ibm/index.h
tml
Antiviral Toolkit Pro (AVP)
http://www.kaspersky.ru
Pc-Cillin
http://www.antivirus.com/download/pattern.htm
Unisva España S.A. ( BitDefender)
http://www.bitdefender-es.com
Si desea recibir nuestro boletín informativo suscríbase a nuestro correo
CCISI@inei.gob.pe
Documentos relacionados
Procesos y servicios
Procesos y servicios
Una Política Pública de “abajo hacia arriba”
Una Política Pública de “abajo hacia arriba”
Eliminar Virus W32. Fleck.A
Eliminar Virus W32. Fleck.A
los virus requieren ser ejecutados para lograr sus objetivos y por
los virus requieren ser ejecutados para lograr sus objetivos y por
Tutor/a académica para el programa ExE en el País Vasco
Tutor/a académica para el programa ExE en el País Vasco
Algo más sobre el software: REPASO EXTENSIONES DE LOS
Algo más sobre el software: REPASO EXTENSIONES DE LOS
INSTALACIÓN DE REPROGTV lite Una vez descargado el archivo
INSTALACIÓN DE REPROGTV lite Una vez descargado el archivo
Laboratorio: Viendo los controladores de dispositivos instalados
Laboratorio: Viendo los controladores de dispositivos instalados
Windows 7 64 Bits y Controladores ODBC.
Windows 7 64 Bits y Controladores ODBC.
Descargar
Anuncio
Anuncio