Alman.A. Infecta ejecutables, se propaga por redes

en Noticias de Seguridad Informatica
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Noticias de Actualidad : Noticias de Seguridad Informatica
Noticias de Seguridad Informatica Noticias de Seguridad Informatica Todas las Noticias de Seguridad Informatica. Alertas y fallos de seguridad.

Alman.A. Infecta ejecutables, se propaga por redes

Compartir

Nombre: Alman.A
Nombre NOD32: Win32/Alman.A
Tipo: Virus infector de ejecutables, gusano y caballo de Troya
Alias: Alman.A, DR/Agent.ASK, Dropped:Trojan.Agent.ASK, PE_CORELINK.A, Trojan.Agent.ASK, Trojan.PWS.Gamania, Virus.Win32.Alman.a, W32.Almanahe.B, W32.Almanahe.B!inf, W32/Alman-A, W32/Almanahe.a, W32/Almanahe.A, Win32.Agent.HAC, Win32/Alman.A, Win32/Almanahe
Fecha: 18/abr/07
Plataforma: Windows 32-bit
Tamaño: 71,168 bytes

Virus del tipo parásito (se adjunta a otro programa y se activa cuando ese programa es ejecutado), capaz de infectar archivos .EXE del equipo infectado.

Puede propagarse como gusano a través de recursos compartidos de redes.

También intenta descargar y ejecutar otros archivos desde Internet.

Posee características de rootkit para ocultar sus archivos y procesos.

Cuando se ejecuta, crea los siguientes archivos:
c:\windows\linkinfo.dll
c:\windows\system32\drivers\DKIS6.sys
c:\windows\system32\drivers\RioDrvs.sys

NOTA: La ubicación y nombres de las carpetas "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.).

El archivo .DLL es inyectado en el proceso del explorador de Windows (EXPLORER.EXE).

Los archivos .SYS contienen el componente rootkit. Para instalarse como un servicio, crea las siguientes claves del registro:

HKLM\SYSTEM\ControlSet001\Services\RioDrvs

HKLM\SYSTEM\CurrentControlSet\Services\RioDrvs

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RIO DRVS

HKLM\SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_ RIODRVS

El virus evita infectar ejecutables de las carpetas con los siguientes nombres:

Local Settings\Temp
Windows
WinNT

También evita infectar los siguientes archivos:

´ó"°Î÷ÓÎ.exe
asktao.exe
au_unins_web.exe
audition.exe
autoupdate.exe
ca.exe
cabal.exe
cabalmain.exe
cabalmain9x.exe
config.exe
dbfsupdate.exe
dk2.exe
dragonraja.exe
flyff.exe
game.exe
gc.exe
hs.exe
kartrider.exe
main.exe
maplestory.exe
meteor.exe
mhclient-connect.exe
mjonline.exe
mts.exe
nbt-dragonraja2006.exe
neuz.exe
nmcosrv.exe
nmservice.exe
nsstarter.exe
patcher.exe
patchupdate.exe
sealspeed.exe
trojankiller.exe
userpic.exe
wb-service.exe
woool.exe
wooolcfg.exe
xlqy2.exe
xy2.exe
xy2player.exe
zfs.exe
zhengtu.exe
ztconfig.exe
zuonline.exe

El troyano puede finalizar todos los procesos activos cuyos nombres contengan algunas de las siguientes cadenas en sus nombres, y siempre que no estén en las carpetas \com\, \program files\, \system\, \windows\ o \winnt\:

c0nime.exe
cmdbcs.exe
ctmontv.exe
explorer.exe
fuckjacks.exe
iexpl0re.exe
iexplore.exe
internat.exe
logo_1.exe
logo1_.exe
lsass.exe
lying.exe
msdccrt.exe
msvce32.exe
ncscv32.exe
nvscv32.exe
realschd.exe
rpcs.exe
run1132.exe
rundl132.exe
smss.exe
spo0lsv.exe
spoclsv.exe
ssopure.exe
svch0st.exe
svhost32.exe
sxs.exe
sysbmw.exe
sysload3.exe
tempicon.exe
upxdnd.exe
wdfmgr32.exe
wsvbs.exe

Luego de finalizarlos, borra los archivos relacionados con dichos procesos.

Ejecuta como proceso oculto, una ventana del Internet Explorer (IEXPLORER.EXE), para utilizarlo en su conexión a Internet, eludiendo la protección de algunos cortafuegos.

Se conecta a los siguientes sitios para descargar otros archivos, y para enviar información del equipo infectado:

pic .imrw0rldwide .com
soft .imrw0rldwide .com
tj .imrw0rldwide .com

El gusano busca todos los recursos de redes accesibles, e intenta conectarse como usuario administrador, utilizando las siguientes contraseñas:

[email protected]#$
[email protected]#$%
[email protected]#$%^
[email protected]#$%^&
[email protected]#$%^&*
[email protected]#$%^&*(
[email protected]#$%^&*()
1
111
123
1234
12345
123456
654321
admin
asdf
asdfgh
qaz
qazwsx
qwer
zxcv

Si logra conectarse, crea el siguiente archivo:

C$\Ins.exe

NOTA: Las particiones y los volúmenes raíz se comparten como el nombre de letra de unidad seguido del signo "$". Por ejemplo, las letras de unidad C y D se comparten como C$ y D$.


---------------------------------------------------------------------------------------------------
REPARACION MANUAL

NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
---------------------------------------------------------------------------------------------------
Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los archivos detectados por el Antivirus.
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Editar el registro de Windows

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\ControlSet001
\Services
\RioDrvs

3. Haga clic sobre la carpeta "RioDrvs" y bórrela.

4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\RioDrvs

5. Haga clic sobre la carpeta "RioDrvs" y bórrela.

6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Enum
\Root
\LEGACY_RIODRVS

7. Haga clic sobre la carpeta "LEGACY_RIODRVS" y bórrela.

8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet001
\Enum
\Root
\LEGACY_RIODRVS

9. Haga clic sobre la carpeta "LEGACY_RIODRVS" y bórrela.

10. Cierre el editor del registro.

11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Fuente: VSANTIVIRUS
[hr]


Archivo HOSTS | Antivirus NOD32 | Agnitum Outpost Firewall
Compartir
  #1  
Creado: 19-Apr-2007, a las 23:00 Vistas: 437
Categoria: Noticias de Seguridad Informatica
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
almana, ejecutables, infecta, propaga, redes


Temas Similares
» Alman.NAC. Infecta ejecutables, se propaga por redes 0
» Alman.NAB. Infecta ejecutables, se propaga por redes 0
» Alman.NAA. Infecta ejecutables, se propaga por redes 0
» Viking.NBB. Se propaga por redes, infecta ejecutables 0
» Viking.NAQ. Se propaga por redes, infecta ejecutables 0
» Viking.M. Se propaga por redes, infecta ejecutables 0
» Viking.NAI. Se propaga por redes, infecta ejecutables 0
» Viking.NAH. Se propaga por redes, infecta ejecutables 0
» Viking.H. Se propaga por redes, infecta ejecutables 0
» Viking.NAF. Se propaga por redes, infecta ejecutables 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 01:27.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4