Alman.NAC. Infecta ejecutables, se propaga por redes

en Ultimas Amenazas de virus y sus variantes
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Seguridad, Spyware y Phishing : Ultimas Amenazas de virus y sus variantes
Ultimas Amenazas de virus y sus variantes Ultimas Amenazas de virus y sus variantes Conozca sobre las ultimas amenazas de virus, troyanos y gusanos a la seguridad de los sistemas operativos y programas del mundo informatico.

Alman.NAC. Infecta ejecutables, se propaga por redes

Compartir

Nombre: Alman.NAC
Nombre NOD32: Win32/Alman.NAC
Tipo: Virus infector de ejecutables, gusano y caballo de Troya
Alias: Alman.NAC, Virus.Win32.Alman.b, W32.Almanahe.B!inf, W32/Almanahe.c, Win32/Alman.NAC
Fecha: 21/jun/07
Plataforma: Windows 32-bit
Tamaño: 38,912 bytes

Virus del tipo parásito (se adjunta a otro programa y se activa cuando ese programa es ejecutado), capaz de infectar archivos .EXE del equipo infectado.

Puede propagarse como gusano a través de recursos compartidos de redes.

También intenta descargar y ejecutar otros archivos desde Internet.

Posee características de rootkit para ocultar sus archivos y procesos.

Cuando se ejecuta, crea los siguientes archivos:
c:\windows\linkinfo.dll
c:\windows\system32\drivers\nvmini.sys

NOTA: La ubicación y nombres de las carpetas "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.).

El archivo .DLL es inyectado en el proceso del explorador de Windows (EXPLORER.EXE).

El archivo .SYS contiene el componente rootkit. Para instalarse como un servicio, crea las siguientes claves del registro:

HKLM\SYSTEM\ControlSet001\Services\nvmini

HKLM\SYSTEM\CurrentControlSet\Services\nvmini

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NVM INI

HKLM\SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_ NVMINI

También crea las siguientes entradas:

HKLM\SOFTWARE\Classes\CLSID
\{C111980D-B372-44b4-8095-1B6060E8C647}

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\ShellServiceObjectDelayLoad
DL5 = "{C111980D-B372-44b4-8095-1B6060E8C647}"

El virus evita infectar ejecutables de las carpetas con los siguientes nombres:

\local settings\temp\
\qq
\winnt\
\windows\

También evita infectar los siguientes archivos:

asktao.exe
au_unins_web.exe
audition.exe
autoupdate.exe
ca.exe
cabal.exe
cabalmain.exe
cabalmain9x.exe
config.exe
dbfsupdate.exe
dk2.exe
dragonraja.exe
flyff.exe
game.exe
gc.exe
hs.exe
kartrider.exe
main.exe
maplestory.exe
meteor.exe
mhclient-connect.exe
mjonline.exe
mts.exe
nbt-dragonraja2006.exe
neuz.exe
nmcosrv.exe
nmservice.exe
nsstarter.exe
patcher.exe
patchupdate.exe
sealspeed.exe
trojankiller.exe
userpic.exe
wb-service.exe
woool.exe
wooolcfg.exe
xlqy2.exe
xy2.exe
xy2player.exe
zfs.exe
zhengtu.exe
ztconfig.exe
zuonline.exe

El troyano puede finalizar todos los procesos activos cuyos nombres contengan algunas de las siguientes cadenas, y siempre que no estén en las carpetas \com\, \program files\, \system\, \windows\ o \winnt\:

c0nime.exe
cmdbcs.exe
ctmontv.exe
explorer.exe
fuckjacks.exe
iexpl0re.exe
iexpl0re.exe
iexplore.exe
internat.exe
logo_1.exe
logo1_.exe
lsass.exe
lying.exe
msdccrt.exe
msvce32.exe
ncscv32.exe
nvscv32.exe
realschd.exe
rpcs.exe
run1132.exe
rundl132.exe
smss.exe
spo0lsv.exe
spoclsv.exe
ssopure.exe
svch0st.exe
svhost32.exe
sxs.exe
sysbmw.exe
sysload3.exe
tempicon.exe
upxdnd.exe
wdfmgr32.exe
wsvbs.exe

Luego de finalizarlos, borra los archivos relacionados con dichos procesos.

También intenta finalizar los siguientes servicios, relacionados con antivirus y otros programas de seguridad:

AVGNTMGR
AvgTdi
BDFsDrv
hooksys
KLPF
KRegEx
KWatch3
NaiAvFilter1
NAVAP
nod32drv
PavProtect
TMFilter
VETFDDNT

Ejecuta como proceso oculto, una ventana del Internet Explorer (IEXPLORER.EXE), para utilizarlo en su conexión a Internet, eludiendo la protección de algunos cortafuegos.

Se conecta con determinados sitios de Internet para descargar otros archivos, y para enviar información del equipo infectado. También recibe información desde dichos sitios.

El gusano busca todos los recursos de redes accesibles, e intenta conectarse como usuario administrador, utilizando las siguientes contraseñas:

[email protected]#$
[email protected]#$%
[email protected]#$%^
[email protected]#$%^&
[email protected]#$%^&*
[email protected]#$%^&*(
[email protected]#$%^&*()
1
111
123
12345
123456789
654321
aaa
abc123
admin
admin123
asdf
asdfgh
letmein
love
monkey
mypass123
owner
password
password1
qwer
qwerty
root
test123

Si logra conectarse, crea el siguiente archivo:

C$\Ins.exe

NOTA: Las particiones y los volúmenes raíz se comparten como el nombre de letra de unidad seguido del signo "$". Por ejemplo, las letras de unidad C y D se comparten como C$ y D$.

Luego ejecuta un servicio remoto con las siguientes características:

Nombre de servicio: DLAN
Nombre para mostrar: DLAN


---------------------------------------------------------------------------------------------------
REPARACION MANUAL

NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
---------------------------------------------------------------------------------------------------
Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los archivos detectados por el Antivirus.
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Editar el registro de Windows

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Classes
\CLSID
\{C111980D-B372-44b4-8095-1B6060E8C647}

3. Haga clic en la carpeta "{C111980D-B372-44b4-8095-1B6060E8C647}" y bórrela.

4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\ShellServiceObjectDelayLoad

5. Haga clic en la carpeta "ShellServiceObjectDelayLoad" y en la ventana de la izquierda busque y borre la siguiente entrada:

DL5 = "{C111980D-B372-44b4-8095-1B6060E8C647}"

6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\ControlSet001
\Services
\nvmini

7. Haga clic sobre la carpeta "nvmini" y bórrela.

8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\nvmini

9. Haga clic sobre la carpeta "nvmini" y bórrela.

10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Enum
\Root
\LEGACY_NVMINI

11. Haga clic sobre la carpeta "LEGACY_NVMINI" y bórrela.

12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet001
\Enum
\Root
\LEGACY_NVMINI

13. Haga clic sobre la carpeta "LEGACY_NVMINI" y bórrela.

14. Cierre el editor del registro.

15. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Fuente: VSANTIVIRUS
[hr]


Archivo HOSTS | Descargar Antivirus NOD32 | Comprar Antivirus NOD32 | Agnitum Outpost Firewall
Compartir
  #1  
Creado: 26-Jun-2007, a las 23:07 Vistas: 845
Categoria: Ultimas Amenazas de virus y sus variantes
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
almannac, ejecutables, infecta, propaga, redes


Temas Similares
» Alman.NAB. Infecta ejecutables, se propaga por redes 0
» Alman.NAA. Infecta ejecutables, se propaga por redes 0
» Alman.A. Infecta ejecutables, se propaga por redes 0
» Viking.NBB. Se propaga por redes, infecta ejecutables 0
» Viking.NAQ. Se propaga por redes, infecta ejecutables 0
» Viking.M. Se propaga por redes, infecta ejecutables 0
» Viking.NAI. Se propaga por redes, infecta ejecutables 0
» Viking.NAH. Se propaga por redes, infecta ejecutables 0
» Viking.H. Se propaga por redes, infecta ejecutables 0
» Viking.NAF. Se propaga por redes, infecta ejecutables 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 08:16.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4