NetDux noticias8

Resumen de virus reportados en los últimos 30 días.

- - - - ---
- - - - Nombre: Backdoor-JZ
- - - - Tipo: Caballo de Troya de acceso remoto
- - - - Fecha: 12/ene/01
- - - - Tamaño: 7,680 bytes

Se trata de un troyano, que suele transmitirse a través del IRC (pero
puede ser descargado en su computadora desde otras fuentes,
consciente o inconscientemente), y cuyo ejecutable está comprimido
con la utilidad UPX.

Es capaz de establecer conexiones TCP/IP por el puerto 30005 en la
computadora infectada. A través de esta conexión, un atacante puede
abrir, ejecutar y borrar archivos de la víctima, en forma remota
desde Internet.

Otras acciones posibles son cerrar Windows, enviar pings hacia el
exterior, etc.

Este troyano, además, es capaz de conectarse a los servidores de IRC
(Internet Relay Chat), y distribuirse a si mismo desde allí, a otros
usuarios que comparten los mismos canales.

- - - - ---
- - - - Nombre: I-Worm.Sint
- - - - Tipo: Gusano de Internet
- - - - Tamaño: 30 Kb (aprox.)

Se propaga a través del correo electrónico, utilizando el Outlook y
su libreta de direcciones.

El virus en si mismo, es un ejecutable de Win32 de unos 30 Kb de
largo, escrito en Visual Basic, que suele llegar en un adjunto de
nombre: "VICEVI_TEZA_ODVALA.TXT.EXE".

Note la doble extensión, truco que puede llegar a engañarnos,
haciéndonos ver este archivo como un "inocente" .TXT (archivos de
texto), cuando en realidad se trata de un ejecutable (.EXE).

"VICEVI_TEZA_ODVALA.TXT.EXE" es también agregado al registro de
Windows, para que sea ejecutado en cada reinicio del sistema.

En este caso, el virus no funcionará en aquellas instalaciones donde
Windows no esté en el directorio "C:\WINDOWS" por defecto, ya que no
utiliza la variable de entorno correspondiente, sino la cadena
textual contenida en su propio código.

El worm se conecta con el Outlook, a través de las funciones MAPI de
Windows. Es capaz de enviarse a todos los contactos obtenidos de la
libreta de direcciones.

- - - - ---
- - - - Nombre: Troj_Azpr
- - - - Tipo: Caballo de Troya
- - - - Destructivo: Si
- - - - Alias: BackDoor-G2.svr.gen, AZPR
- - - - Tamaño: 1,147,299 bytes

Es un destructivo troyano con características de backdoor, adjunto a
la herramienta para recuperar passwords en archivos ZIP, llamada
"Advanced Zip Password Recovery Tool".

Actúa como servidor, habilitando el acceso remoto de un hacker, a la
computadora infectada. Una vez ejecutado, se mantiene en memoria.

El troyano crea dos archivos en la carpeta C:\WINDOWS. El primero es
una copia de si mismo, y el segundo es un componente detectado por
algunos antivirus como Troj_Sub7.Muie.

Luego de esto, el trojan crea y ejecuta el archivo:
C:\WINDOWS\APPL_.EXE. Se trata de la herramienta original conocida
como "Advanced Zip Password Recovery Tool". De este modo el usuario
pensará que ejecutó esta herramienta, y no sospechará la presencia
del troyano.

Luego, queda residente en memoria, y aguarda los comandos que
recibirá desde el cliente (la otra parte de este caballo de Troya, la
cuál ejecuta el atacante).

También modifica las entradas del registro necesarias para ser
lanzado cada vez que el usuario corra otros programas.

El procedimiento para borrar este troyano de su sistema, está
explicado paso a paso en nuestro sitio http://www.videosoft.net.uy.

- - - - ---
- - - - Nombre: Worm.Hermes
- - - - Tipo: Gusano de e-mail
- - - - Tamaño: 20 Kb aprox. (comprimido)

Se trata de un gusano que se propaga a través del correo electrónico,
usando para ello el Outlook de Microsoft.

El worm en si mismo es un ejecutable de unos 20 Kb de largo
comprimido (descomprimido ocupa unos 60 Kb), escrito en Visual Basic.

Para conectarse al Outlook, utiliza las funciones MAPI de Windows.

De la libreta de direcciones, toma los contactos a los que se
enviará, en mensajes que poseen como archivo adjunto, uno tomado al
azar desde las siguientes variantes:

Seti@home 3.x to 4.0 upd.exe
Seti@home_twk.exe
Seti_patch.exe
Lunetic!.exe
CIH.exe
Energy.exe
ftip.exe
Navidat.exe
Click_ME!.exe
Cenik.exe
Lunetic.scr
fucking.scr
micro$haft.scr
matrix.scr
reboot.scr
Pamela.scr
techno.scr
funny!.scr
Hermes.scr
School_in_da_flame.scr

Cuando se ejecuta, el gusano despliega un mensaje para disimular su
actividad, con un falso error por falta de memoria, y algunas
indicaciones para obtener más memoria libre.

- - - - ---
- - - - Nombre: Demiurg (Demig)
- - - - Tipo: Infector de archivos, multipartite
- - - - Tamaño: 16,354 bytes
- - - - Alias: Demig.16354, X97M.Demiurg.A, X97M/Demiurg, W32/Demiurg,
Pe_emiurg.A, Bat_demiurg.A, Demiurg.17584, X97m_demiurg.A,
W32.Demiurg.16354.dr, Demiurg.16354, Demiurg.16354.Bat

Este virus multipartite (se les llama así a aquellos virus capaces de
infectar diferentes tipos de archivos), es capaz de infectar archivos
MS-DOS, Windows (Win32) y Excel.

Bajo DOS, infecta archivos .COM, .EXE y .BAT.

Bajo Windows, infecta archivos ejecutables PE (Win32) y la librería
KERNEL32.DLL.

Y en Office, puede crear libros Excel conteniendo el virus (virus
dropper).

El virus en si mismo es un ejecutable Win32 en formato PE, y es capaz
de realizar todas sus funciones, solamente cuando se ejecuta bajo
Windows.

Otros componentes infectados serán convertidos en "virus dropper", o
sea que esconden el cuerpo del virus y lo liberan bajo determinadas
circunstancias. De esta manera, el virus no se propaga directamente
desde un archivo infectado, pero utiliza técnicas para liberar copias
de si mismo desde estos archivos.

Bajo Win32, el virus permanece residente en memoria. El archivo
KERNEL32.DLL infectado, engancha todas las funciones de acceso a los
archivos (abrir, copiar, mover, cambios de atributos), e infecta
archivos .COM, .EXE y .EXE de Win32 (PE).

- - - - ---
- - - - Nombre: HTML/LittleDavinia
- - - - Tipo: Gusano de HTML, VBS, correo y Macro

El HTML/LittleDavinia, sólo afecta a aquellos que tengan instalado en
su PC, el Word 2000.

Se trata de una mezcla de gusano de HTML, Visual Basic Script, correo
y macro, programado en España por quien firma como Onel2,
supuestamente en referencia al autor del Loveletter, el filipino Onel
de Guzmán.

Este virus utiliza el cliente de correo MS Outlook para propagarse.
Sin embargo, el gusano utiliza una manera muy sofisticada de ingresar
a nuestra computadora.

Primero, recibimos un mensaje infectado, que contiene un script que
automáticamente abre una ventana del Internet Explorer después que el
mensaje es leído, iniciándose una conexión al sitio o página del
hacker o atacante.

El virus posee además otro script que a su vez abre un documento
Word, localizado en el mismo sitio mencionado anteriormente. Este
documento contiene un virus de macro, que sin el conocimiento del
usuario, desactiva la protección contra virus del Word 2000. De este
modo, no seremos avisados de la presencia de macros en ese documento,
el cuál es abierto y ejecutado sin nuestra acción directa, y sin que
nos enteremos en ningún momento de este proceso.

Para hacer todo esto, el virus explota la vulnerabilidad conocida
como "Office 2000 UA Control Vulnerability", descubierta en el mes de
mayo de 2000, y para la que ya existe un parche.

Luego de ello, el gusano accede al Outlook, captura la lista de
contactos de la libreta de direcciones, enviándoles a todos ellos,
mensajes (iguales al que recibimos), pero conteniendo enlaces al
sitio Web descripto arriba.

El documento de Word descargado de la página, se llama LD.DOC, y como
vimos, contiene macros que sólo funcionan en Word 2000.

El virus "Davinia" es altamente destructivo. Reemplaza todos los
archivos localizados en todos los discos duros de nuestra
computadora, por un archivo que despliega un mensaje en español
cuando es ejecutado. El archivo que genera estos archivos, se llama
LITTLEDAVINIA.VBS, y se ejecutará de manera automática. Este es el
mensaje que presenta:

VBSScript: Onel2 - Melilla

Hola, tu nombre es [nombre del usuario].
Tu email es [e-mail del usuario]
Yo soy Onel2, y vivo en Melilla
una ciudad del norte de Africa.
Estoy enamorado de una chica llamada Davinia.
Ella es la más guapa del mundo.
Es como una diosa.
Igual que yo me contagie de amor
de Davinia, tus archivos se van a
contagiar de amor de esta página
Davinia(chica) y Davinia(virus) rompen corazones y archivos.
littledavinia version 1.1 esta en camino...

[ Anular ] [ Reintentar ] [ Ignorar ]

Como los archivos no son borrados ni renombrados, sino suplantados
por el contenido de este archivo, la recuperación de los originales
es imposible, salvo que se haga desde algún respaldo total de
nuestros discos.

- - - - ---
- - - - Nombre: WM97/Chronic-A
- - - - Tipo: Virus de macro de Word 97

Se trata de un virus que posee un complejo mecanismo, el que bajo
ciertas condiciones, puede llegar a borrar los valores de la CMOS.
Estos valores incluyen datos como la hora y la fecha, y sobre todo,
la información necesaria para que el sistema sea reconocido al
encenderse la PC, datos como tipo de hardware instalado, discos
duros, etc.

- - - - ---
- - - - Nombre: W32/Navidad-B (Emanuel)
- - - - Tipo: Ejecutable de Win32, Gusano
- - - - Tamaño: 16,896 Bytes
- - - - Alias: I-Worm/Navidad, W32/Emanuel, Troj_Emmanuel,
W32.Navidad.16896, Emmanuel, Navidad.E, Navidad.B

Este virus ya ha sido reportado (y descripto tanto en Criptonomicón
#79, como en nuestro sitio, el pasado 30 de noviembre de 2000), sin
embargo, es en los últimos días que ha sido visto activo en una gran
cantidad de lugares y países, por lo que incluso en algunos medios se
ha anunciado su fecha de descubrimiento (en forma errónea) como la
del 8 de enero de 2001.

Es una variante del virus W32/Navidad, pero en esta versión, llega a
nosotros en un mensaje con un adjunto llamado EMANUEL.EXE.

El gusano intentará leer los mensajes de la carpeta de recibidos, y
se enviará a las direcciones de los remitentes allí conseguidos.

Debido a las características de este virus, y las modificaciones
realizadas en el registro, la forma de sacar este virus de un sistema
infectado es larga y engorrosa, y está descripta paso a paso en
nuestro sitio: http://www.videosoft.net.uy

- - - - ---
- - - - Nombre: Pe_Wit.A
- - - - Tipo: Virus infector de ejecutables Win32 (PE)
- - - - Alias: WIT.A
- - - - Tamaño: 4,096 bytes

Se trata de un virus "de compañía" o "companion" (se les llama así a
los virus que modifican el nombre de los archivos originales y toman
el lugar de estos, de modo que cuando el programa original es
llamado, en realidad se ejecuta primero el virus). Infecta solo los
archivos .EXE del formato PE (Portable Executable). Luego de la
infección, los archivos .EXE son renombrados como .WX3.

- - - - ---
- - - - Nombre: Troj_Bat2exec
- - - - Tipo: Caballo de Troya
- - - - Alias: BAT2EXEC
- - - - Destructivo: Si
- - - - Tamaño: 9,384 bytes

Se trata de un destructivo troyano, capaz de formatear el disco duro
cuando se reinicia el sistema.

Cuando se ejecuta, despliega este texto:

PLEASE WAIT WHILE PROGRAM LOADS..

En ese momento sobreescribe el archivo AUTOEXEC.BAT con el código
necesario para formatear automáticamente todas las unidades de disco
disponibles en el sistema. Además, intenta borrar archivos en todas
las unidades de disco, utilizando el comando DELTREE.

Nota: Existe una utilidad de DOS llamada también BAT2EXEC que permite
compilar un archivo de lotes (.BAT) para convertirlo en ejecutable
(.EXE).

- - - - ---
- - - - Nombre: W97M/Michael.A y W97M/Michael.c
- - - - Tipo: Virus de macro de Word 97
- - - - Alias: Michael.A, W97M/Michael.c.gen, W97M_Michael.Kbd
- - - - Origen: Filipinas

Se trata de un virus de Word 97 polimórfico, contenido en un módulo
llamado MYCKL2_6.

Cuando un documento o una plantilla infectada es abierta, el virus
intenta deshabilitar la protección contra virus de macros de Word 97,
y la opción SaveNormalPrompt. Luego borra los macros existentes y se
copia a si mismo a la plantilla NORMAL.DOT, y a cualquier otro
documento abierto en ese momento.

Bajo determinadas circunstancias, el virus esconde las carpetas
FUENTES, TECLADO, MOUSE, e IMPRESORAS del Panel de Control.

También modifica archivos relacionados con el teclado, modificando el
valor de las teclas pulsadas por otros.

El resto de las rutinas del virus (payloads), actuarán de acuerdo a
los macros y acciones que sean activadas por el usuario en una sesión
de trabajo normal con el Word.

Estas acciones incluyen la impresión de un Curriculum Vitae,
presumiblemente del autor del virus, la visualización de un
Curriculum interactivo usando el Microsoft Assistant para darle al
usuario diferentes opciones a seleccionar de una lista que puede
cambiar al azar, y el borrado de archivos como C:\AUTOEXEC.BAT.

Una variante, llamada W97M/Michael.C, deshabilita algunas opciones
del menú de Word, y muestra un mensaje al respecto.

- - - - ---
- - - - Nombre: Pe_Resur
- - - - Variantes: Resur.b
- - - - Tamaño: 163,840 bytes
- - - - Tipo: Infector de ejecutables Win32
- - - - Alias: Win32.Resur, Resur, W32/Resur, W32.Resurdbg,
Win32/Resurrection

La primera vez que se ejecuta, este virus infecta archivos PE
(ejecutables de Win32) en la carpeta C:\WINDOWS. Los archivos
infectados no se comportarán normalmente y producirán algunas veces
errores de operaciones ilegales al funcionar. Más allá de ello, este
virus no posee una rutina destructiva, por lo que parece ser parte de
un experimento de nuevas técnicas a explotar en el futuro.

Cuando el virus se ejecuta, se muestra un botón de [ACEPTAR] en una
caja de mensajes titulada:

Win32/Resurrection by Tcp/29A

El virus se mantiene entonces activo en memoria, y cuando un archivo
infectado es abierto, toma el control, ejecuta su rutina de infección
y finalmente le devuelve el control al archivo.

El proceso iniciado (thread), sigue activo en segundo plano mientras
el proceso principal iniciado por el ejecutable infectado que lo
contiene está presente. Este proceso intentará escanear las carpetas
y subcarpetas de todos los discos disponibles, infectando los
archivos ejecutables Win32 PE (Portable Executable).

El virus también contiene este texto, el cuál solo es mostrado en
algunos casos.

I already told you this but...
Warning! Don't close this window
Win32/Resurrection by Tcp/29A
Hey you, stupid
29A

* Variante: Resur.b

Es una re-hechura del virus original. En lugar de mostrar el mensaje
anterior, el virus obliga al navegador de Internet en uso, a abrir el
sitio Web: "http://sennaspy.tsx.org". Esta versión solo contiene este
texto:

Senna Spy Fenasoft 2000 Virus

Algunas veces, los archivos infectados no infectarán otros archivos.
Tampoco se ejecutarán otras rutinas destructivas.

- - - - ---
- - - - Nombre: Bat_Exitwin.A
- - - - Tipo: Caballo de Troya de archivos BAT
- - - - Alias: Exitwin.A
- - - - Destructivo: Si
- - - - Tamaño: 26,112 bytes

Cuando se ejecuta por primera vez (puede ser un archivo bajado de
Internet, adjunto a un mensaje, etc.), este troyano hace que la
computadora se reinicie continuamente, cada vez que la encendemos.

Se trata de un archivo .EXE, que al ejecutarse, libera los archivos
AUTOEXEC.BAT e INSTALL.BAT en la carpeta temporal de Windows.

Luego, ejecuta INSTALL.BAT, el cuál examina la presencia del archivo
AUTOEXEC.BAT en el directorio raíz de C:\. Si existe, lo renombra
como AUTOEXEC.BAK y copia el archivo AUTOEXEC.BAT del virus.

Si no existe, copia directamente su propio AUTOEXEC.BAT

Luego muestra el siguiente mensaje y resetea la computadora,
reiniciando el sistema.

You've been fucked by Th3 H@cker

- - - - ---
- - - - Nombre: Troj_Sub7.Muie
- - - - Tipo: Caballo de Troya
- - - - Alias: SUB7.MUIE, BackDoor-EP.svr
- - - - Variantes: Actualización de BackDoor-G2.svr.21

Es un destructivo troyano, que permite el acceso remoto a la
computadora infectada, obteniendo información del sistema, y
comprometiendo la seguridad de la red.

Como casi todo troyano clásico, consta de dos partes, el programa
cliente y el servidor.

El servidor se instala en la computadora atacada (generalmente es
ejecutado por el usuario que se convierte en víctima, engañado sobre
el verdadero uso del archivo, y sin tomar precauciones como las de no
ejecutar jamás archivos no solicitados recibidos vía e-mail, etc.).

Una vez instalado, y cada vez que la víctima se conecta a Internet,
el caballo de Troya se pone a la escucha por el puerto 27374 (por
defecto), esperando el acceso de un usuario que esté utilizando la
parte cliente del trojan.

Una vez que se establece la conexión, se pueden realizar diferentes
acciones sin el conocimiento del usuario infectado, tales como
captura de la información de dicha computadora y de los datos del
usuario, captura de todo lo tecleado por el usuario, conectado o no a
Internet, transferencia de archivos, y páginas HTML, etc.

La distribución de este archivo, generalmente se hace en un
ejecutable Win32 (PE), simulado en una imagen JPG o BMP.

El troyano también registra la extensión .DL como un tipo de archivo
ejecutable. Esto permite al atacante descargar archivos en la
computadora de la víctima y ejecutarlos.

Como esta extensión no está relacionada normalmente con archivos
ejecutables algunos antivirus no los detectarán, y la víctima
ignorará su existencia.

- - - - ---
- - - - Nombre: VBS/Mill.f@MM
- - - - Tipo: Gusano de Visual Basic Script
- - - - Fecha: 26/dic/00
- - - - Tamaño: 5,989 bytes

Este virus se ejecuta solo si tenemos habilitado el Windows Scripting
Host (WSH) en nuestro PC, y tiene la habilidad de propagarse tanto a
través del programa de chat mIRC, como de las funciones MAPI (correo
electrónico). De ambas formas se recibe un adjunto con el nombre:
"SeasonGreeting.txt.vbs".

Note la doble extensión, lo que hace que el virus pueda mostrarse
como un inocente .TXT, escondiendo su condición de archivo .VBS

El gusano se enviará a todos los contactos de la libreta de
direcciones de Windows (Windows Address Book) con las mismas
características del mensaje recibido anteriormente.

Si está presente el archivo C:\MIRC\SCRIPT.INI, el mismo será
sobrescrito con las instrucciones necesarias para enviar el archivo
SEASONGREETING.TXT.VBS a todos los usuarios de IRC que se unan al
mismo canal de chat en que se encuentra la computadora infectada.

- - - - ---
- - - - Nombre: VBS/Tqll-A
- - - - Tipo: Gusano de Visual Basic Script
- - - - Alias: VBS/Tqll.a@MM, VBS/Tqll-A
- - - - Tamaño: 10,390 bytes
- - - - Fecha: 29/dic/00

Si la persona recibe un mensaje con el asunto "New Year !", y pincha
sobre el adjunto "HAPPYNEWYEAR.TXT.VBS", el virus se instalará en su
unidad de disco.

Por defecto, Windows ocultará la segunda extensión, mostrando el
enlace como "HAPPYNEWYEAR.TXT" (para que Windows visualice todas las
extensiones, debemos ir a Inicio, Configuración, Opciones de carpetas
en Windows 98, o en cualquier menú Ver de Windows 95, en Opciones --u
Opciones de carpetas--, y en la opción Ver, DESMARCAR la opción
"Ocultar extensiones para los tipos de archivos conocidos" o
similar).

Cuando el virus se instala, libera un caballo de Troya, creando el
ejecutable 3K.EXE en el directorio C:\WINDOWS, el cuál intentará
bajar otro archivo (TEEN.EXE) desde varios sitios de Internet. 3K.EXE
es un archivo de unos 9 Kb, y consiste en el código encriptado del
troyano.

Este troyano se ha estado distribuyendo en algunos newsgroups
(alt-sex, etc.), con el nombre de QUICKFLICK.MPG.EXE. La doble
extensión, también podría engañar al usuario, haciéndolo creer se
trate de un video .MPG.

Cuando este Trojan se ejecuta, intentará descargar y ejecutar en
forma silenciosa otro programa desde algunos sitios Web. Este
programa es una copia del troyano Troj/Subseven.

Luego de esto, el gusano intentará reenviarse a través del Outlook a
todos los usuarios de la libreta de direcciones.

El virus no funciona si no se tiene instalado el Windows Scripting
Host.

- - - - ---
- - - - Nombre: VBS.Sorry.A
- - - - Variantes: VBS/TTFloader.A, VBS/Pica.worm.gen
- - - - Tipo: Gusano de Visual Basic Script
- - - - Tamaño: 10,178 bytes
- - - - Fecha: 20/dic/00

VBS.Sorry.A es un gusano de Visual Basic Script capaz de copiarse a
si mismo a múltiples directorios del disco duro local y de unidades
de red. También genera archivos de configuración del programa de chat
"mIRC" para conectarse con computadoras infectadas por el troyano
SubSeven, en las cuáles es capaz a su vez de copiarse y ejecutarse.

Además, puede borrar archivos y carpetas de la computadora infectada.

Uno de los posibles síntomas de la infección que el usuario podrá
apreciar es la lentitud de su máquina cuando el virus está activo.

- - - - ---
- - - - Nombre: W32/HLLP.Backdoor.Yai
- - - - Tipo: Virus de compañía
- - - - Origen: China
- - - - Alias: HLLP.Yai, HLLP.Yai.274944, PE_YAI.SER,
Trojan.YAI.Mimi.Srv, W32.HLLP.YAI, W32/HLLP-Yai, Win32.HLLP.Yai

Más arriba, explicábamos el significado de "virus de compañía". En
este caso, el W32/HLLP.Backdoor.Yai se copia a si mismo con el nombre
del archivo original, y renombra a éste con la extensión .TMP. Este
archivo (.TMP) es puesto con los atributos de oculto (+H).

Ejemplo:

WRITE.EXE
WRITE.TMP

WRITE.EXE contiene el virus, y WRITE.TMP es el archivo original
renombrado. El archivo WRITE.TMP es comprimido durante la infección
usando LZH, pero seguirá ejecutándose y funcionando correctamente.

Su método de infección es del tipo "acción directa". Busca e infecta
archivos ejecutables en la unidad local, y los renombra, copiándose
luego a si mismo con el nombre original del archivo "infectado", como
vimos.

- - - - ---
- - - - Nombre: VBS/MBot-A
- - - - Tipo: Gusano de Visual Basic Script
- - - - Alias: MatrixBot

El gusano puede llegar a nosotros en un mensaje con el asunto
"NewsMatrixBot [Test Run only]" y un adjunto llamado: MATRIXBOT.VBS.

Si se ejecuta este archivo (doble clic sobre el adjunto), el gusano
se copia una vez en la carpeta C:\WINDOWS, con el nombre de
WIN32DLL.VBS, y dos veces en la carpeta C:\WINDOWS\SYSTEM con los
nombres de MSKERNEL32.VBS y MATRIXBOT.VBS.

También modifica el registro de Windows, para que WIN32DLL.VBS y
MSKERNEL32.VBS se ejecuten en cada reinicio del sistema.

Además, se modifica la página de inicio del Internet Explorer para
que apunte a esta dirección: http://www.ashoppe.net.

Una vez en memoria, el gusano es capaz de propagarse a todos los
contactos de la libreta de direcciones del Outlook, adjuntándose en
cada mensaje el propio gusano (desde el tercer archivo copiado en el
sistema: MATRIXBOT.VBS).

- - - - ---
- - - - Trojan: Namaz Trojan
- - - - Tipo: Caballo de Troya
- - - - Alias: Win32.Namaz Trojan

Este caballo de Troya, puede venir en un archivo llamado "HAPPY
CHRISTMAS.EXE". Cuando éste es ejecutado, el virus modifica el
archivo C:\AUTOEXEC.BAT de modo que en el arranque de Windows, se
muestre el mensaje "Happy_Namaz!. Presione cualquier tecla para
continuar . . .".

También modifica el registro, de modo que cierra Windows apenas se
ejecuta.

Antes de ello, el virus crea varios directorios, y cada vez que lo
hace, también se ejecuta la calculadora de Windows (calc.exe),
generándose varias instancias simultáneas de dicha aplicación. La
cantidad total de directorios creados (y de calculadoras
ejecutándose) es siempre una cantidad al azar, pero suele ocurrir que
el sistema agote sus recursos, al estar ocupada su memoria por la
cantidad de calculadoras cargadas en ella, antes que el troyano
culmine su tarea.

- - - - ---
- - - - Nombre: Dropper_12m
- - - - Tipo: Infector de archivos
- - - - Destructivo: Si
- - - - Tamaño: 4,096 bytes

Se trata de un virus de DOS (que funciona en Windows), capaz de
sobrescribir el sector de booteo (BOOT Sector) del disco duro y las
dos tablas de particiones del mismo (FAT, File Allocation Table).

Cuando se ejecuta, el virus busca la existencia de un archivo llamado
STEALTH.COM. Si lo encuentra, lo utiliza para infectar el sistema.

Para ello, se engancha (hook) a las interrupciones que el DOS utiliza
para el manejo de los errores críticos, y las operaciones de división
por cero. Cuando algunas de estas interrupciones son activadas por el
sistema, el virus actúa, sobrescribiendo (borrando), el sector de
arranque del disco duro (BOOT sector), y también ambas FAT. Con esto,
no se podrá volver a arrancar el sistema desde el duro.

- - - - ---
- - - - Nombre: PE.Begemot.A
- - - - Tipo: Infector de archivos PE
- - - - Alias: Win95.Begemot, Begemot.A, PE_Begemot.A-O
- - - - Tamaño: 8,192 bytes

Se trata de un virus residente en memoria, polimórfico, de apenas 8
Kb, que una vez instalado es capaz de infectar todos los archivos con
formato PE (Portable Executable) de Windows, incluyendo ejecutables
(EXE), y salvadores de pantalla (SCR), que sean accedidos por el
sistema. También infecta archivos comprimidos con la utilidad RAR,
agregando un archivo infectado (BEER.EXE) dentro de los mismos.

El virus usa llamadas al sistema, que solo funcionan en Windows
95/98, no pudiéndose extender bajo Windows NT.

Posee algunos fallos, y ocasiona congelamientos del sistema en
algunas ocasiones.

Es capaz de comunicarse con un módulo externo que lo puede controlar
desde una interface tipo consola. Desde esta consola por ejemplo, se
puede habilitar o deshabilitar las rutinas de infección.

Utiliza ingeniosos métodos para saltar de ring3 a ring0, etc. Usando
estas habilidades, el virus puede deshabilitar la parte residente de
algunos antivirus.

También es capaz de borrar archivos de algunos antivirus en ese
punto.

El código principal, contiene el siguiente texto, que no es mostrado:

Virus Win98.BeGemot by Benny/29A

- - - - ---
- - - - Nombre: PE_Funlove.4099
- - - - Tipo: Infector de archivos Win32
- - - - Alias: W32/Funlove
- - - - Tamaño: 4.099 bytes

Cuando se ejecuta, este virus crea un archivo llamado FLCSS.EXE en
C:\WINDOWS\SYSTEM.

Infecta entonces a todos los archivos PE (EXE, SCR, y OCX), en las
carpetas Archivos de programas, Program Files y Windows9x/WinNT,
incluyendo sus subcarpetas.

Mientras el EXPLORER.EXE se encuentre en memoria, el virus se volverá
a ejecutar cada vez que el sistema se reinicia. Como EXPLORER.EXE y
otros archivos del sistema, se ejecutan siempre que Windows es
cargado, este virus no puede ser limpiado desde Windows, ni aún desde
una ventana MS-DOS bajo Windows, sin desactivarlo antes de la
memoria.

Bajo un entorno de Windows NT, el virus modifica el testeo de
integridad de NTOSKRNL.EXE (el kernel de Windows NT), modificando el
archivo cargador de este (NTLDR), el cuál está ubicado en el
directorio raíz, para que no despliegue un mensaje de error (pantalla
azul). Luego, también es modificado el archivo NTOSKRNL.EXE ubicado
en el directorio \WINNT\SYSTEM32. Esto le permite tomar los
privilegios del administrador, leyendo y modificando todos los
archivos. Además, intenta ejecutarse como un servicio.

El virus infecta todos los archivos en formato Win32 Portable
Executable (PE), tales como .EXE, .SCR, y .OCX en Windows 9x y NT.
También busca en todas las carpetas compartidas en una red con acceso
de lectura permitido e infecta los archivos con esos formatos en
ellos.

- - - - ---
- - - - Nombre: W97M/Digma
- - - - Tipo: Virus de macro
- - - - Fecha: 15/dic/00

Este virus se propaga a través de documentos infectados de Word 97 y
2000.

La infección comienza cuando el virus escribe su código a la
plantilla "Normal.dot". Una vez que esta plantilla es infectada,
todos los documentos usados en el sistema, serán infectados.

El virus realiza las siguientes acciones:

Deshabilita las opciones de alertas de virus de macros en Word.

Deshabilita la pregunta para grabar la plantilla normal.

Deja en 4 la cantidad de documentos usados recientemente.

El día 13 de cada mes, cuando se abandona Word y hay un documento
abierto, el virus realiza estas acciones:

Todas las apariciones en el documento de las letras "a" y "o" son
reemplazadas por la palabra FUCK.

Se inserta el siguiente texto, en grandes letras, al comienzo del
documento.

DIGITAL
MADMAN

- - - - ---
- - - - Nombre: W97M/Media
- - - - Tipo: Virus de macro
- - - - Fecha: 15/dic/00

Se propaga a través de documentos infectados en Word 97 y 2000.
Consiste en el macro "ThisDocument". Cuando un documento infectado es
abierto, el virus realiza las siguientes acciones:

Deshabilita la advertencia de virus de macros en Word.

Deshabilita la opción para grabar la plantilla normal.

En forma randómica, muestra este mensaje:

Dat mediaheekmens SUCKS!!!

Para activar la infección, el virus graba su código a la plantilla
global, "Normal.dot". Una vez que esta plantilla es infectada, todos
los documentos usados en el sistema serán infectados.

- - - - ---
- - - - Nombre: W32/Press (Win32.HIV)
- - - - Tipo: Infector de archivos Win32 y Gusano de Internet
- - - - Alias: PE_HIV, VBS/Press, W32.HIV, W32/Press.6380,
W32/Press.6380.dr, W32/Press.6382, W32/Press.6382.dr, W32/Press.6386,
W32/Press.6386.dr, Win32.HIV

Es un peligroso virus residente en memoria, que infecta archivos
ejecutables Win32 (PE EXE) y archivos de instalación de Windows
(MSI). Es capaz de actualizarse desde Internet, y tiene capacidades
para propagarse vía e-mail.

El virus está encriptado y utiliza una tecnología llamada "Entry
Point Obscuring", para esconderse dentro de los archivos infectados.
Su tamaño es de aproximadamente 6 Kb, y ocupa hasta 8 Kb una vez en
memoria.

Utiliza varias técnicas novedosas para evitar ser examinando
(técnicas anti-debugging), y es capaz de congelar la PC si detecta la
presencia del SoftICE o cualquier otra herramienta del tipo
"debugger" en el sistema (estas herramientas permiten correr un
programa o proceso paso a paso y examinar su código).

El virus intenta deshabilitar la protección de archivos de Windows,
como el SFC. Para ello actúa sobre archivos responsables de dicha
protección. Sobreescribe el archivo DEFAULT.SFC creando uno de cero
bytes (en Windows 98), o SFCFILES.DLL (en Windows 2000). Esto sin
embargo funciona solo en Windows 98, no bajo Windows 2000, ya que el
sistema bloquea el acceso a este DLL, y además es capaz de restaurar
el archivo SFCFILES.DLL. En Windows 98, la eliminación del archivo
DEFAULT.SFC impide que la herramienta conocida como Comprobador de
archivos del sistema (SFC por sus siglas en inglés), actúe.

Para infectar los archivos *.EXE, el virus examina el directorio
actual (donde se ejecutó el archivo infectado), y escribe su propio
código al final del archivo que infecta.

Si se ejecuta, el virus queda en memoria como un componente del
programa infectado, intercepta las funciones de acceso a los
archivos, e infecta a los ejecutables que son llamados por aquél. Es
capaz de permanecer activo en memoria hasta que la aplicación
infectada es finalizada.

El virus es capaz de interceptar el acceso a archivos MSI (archivos
del Instalador de Windows), abrirlos, buscar por archivos ejecutables
PE en ellos, e infectarlos sobreescribiendo la rutina de entrada.

También busca archivos *.HTML en el directorio actual, y los
reemplaza por archivos XML, agregándoles la extensión .XML, además de
un script.

Los archivos XML son archivos en lenguaje de formato extensible, que
incorporan varias funciones y comandos que pueden ejecutarse bajo el
Windows Scripting Host (WSH) de Windows. Pueden modificarse con un
simple editor de texto.

El virus esconde los archivos afectados (XML) con un truco: cambia el
registro del sistema para impedir que Windows muestre las extensiones
XML y además se visualice el icono estándar para archivos HTML. Como
resultado, los archivos HTML afectados (ahora XML), son mostrados por
el Explorer como HTML. Así que un archivo "NOMBRE.HTML.XML" se
mostrará en realidad como "NOMBRE.HTML" y con el icono de los HTML.

Abre además la libreta de direcciones (Windows Address Book), y toma
de allí las direcciones a las que envía un mensaje con el archivo
adjunto PRESS.XML.

Este archivo es el mismo script XML que es usado por el virus al
infectar los archivos HTML.

- - - - ---
- - - - Nombre: Troj_Sub7drpr.B
- - - - Tipo: Caballo de Troya
- - - - Tamaño: 1,686,447 bytes
- - - - Alias: Multidropper.z, SUB7DRPR.B , Trojan.Win32,
TrojanRunner.RSP.a

Aparenta ser una captura de una webcam (cámara web). Posee formato
.RM (Real Media), y su nombre es VIDEO.RM, pero en realidad se trata
de un "dropper".

Un "dropper" es aquél programa que ha sido modificado para llevar a
cabo la instalación de un virus en el sistema. Los "droppers" ocultan
el cuerpo del virus que liberan, de tal modo que un antivirus puede
no detectarlo.

En este caso, el archivo esconde al troyano Troj_Sub7.401315, una
variante del SubSeven.

Cuando VIDEO.RM es abierto (doble clic sobre él), se ejecutará la
aplicación Real Player si está instalada, para visualizarlo. Pero
antes, el virus liberará el archivo MELT.EXE, el cuál contiene el
caballo de Troya. El virus moverá luego su contenido al archivo
WINREG.EXE en la carpeta C:\WINDOWS, y borrará MELT.EXE.

WINREG.EXE funcionará entonces como una variante del servidor del
troyano SubSeven, quedando en segundo plano, a la espera que un
usuario que en forma remota, ejecutando el cliente, tome el control
de la computadora infectada.

- - - - ---
- - - - Trojan: Troj_Sub7.401315
- - - - Tipo: Caballo de Troya
- - - - Alias: Backdoor-G2.svr.gen, SUB7.401315
- - - - Tamaño: 401,315 bytes

Se trata de una variante del servidor del SubSeven. El troyano, se
instala a si mismo y modifica los archivos del sistema, para poder
ejecutarse en cada inicio de Windows. Una vez en memoria, y cuando la
víctima se conecta a Internet, envía una notificación a cualquier
usuario remoto que use la parte cliente de este troyano, a través del
ICQ y abre y se pone a la escucha por el puerto 1032 (puede ser
modificado), en espera de las ordenes del cliente.

El trojan se registra a si mismo como un servicio, de modo que se
ejecuta en segundo plano, sin ser visible en la lista de tareas
(CTRL+ALT+SUPR).

- - - - ---
- - - - Nombre: VBS/Aphex
- - - - Tipo: Gusano de mIRC y Visual Basic Script

Este virus escrito en Visual Basic Script, está contenido en un
archivo .HTM. Para que funcione, se requiere tener instalado el
Windows Scripting Host en nuestro PC.

Cuando un archivo .HTM infectado es abierto, un mensaje del Internet
Explorer advierte al usuario sobre la ejecución de código no seguro
(controles ActiveX).

Si el usuario pincha en SI, el virus procederá a realizará diferentes
acciones, como copiarse al sistema, borrar archivos con extensión .JS
o que comiencen con el nombre "jpg.*", archivos .HTM cuyos nombres
comiencen con "love", archivos .VBS cuyos nombres comiencen con
"clean", y cualquier archivo llamado "script.ini", "events.ini",
"movia.avi.pif", "win.com.bat", "mirc.bat", "tesk.sys", o
"mstesk.exe".

El gusano, intentará también enviarse a si mismo a los canales de
chat, modificando el archivo SCRIPT.INI usado por el cliente de IRC,
mIRC.

NetDux

consulta de red traduccion consulta profesional

inicio
quienes somos
nuestros servicios
ferias y congresos
camaras comercio
registro dominios
news de empresa
netdux en prensa
la bolsa
tablon de anuncios
sala de prensa
el cafe
correo netdux

NetDux

consulta de red traduccion consulta profesional

inicio quienes somos nuestros servicios ferias y congresos camaras comercio registro dominios news de empresa netdux en prensa la bolsa tablon de anuncios sala de prensa el cafe correo netdux

inicio
quienes somos
nuestros servicios
ferias y congresos
camaras comercio
registro dominios
news de empresa
netdux en prensa
la bolsa
tablon de anuncios
sala de prensa
el cafe
correo netdux