Nuwar.AA. Se propaga por e-mail, descarga componentes

en Ultimas Amenazas de virus y sus variantes
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Seguridad, Spyware y Phishing : Ultimas Amenazas de virus y sus variantes
Ultimas Amenazas de virus y sus variantes Ultimas Amenazas de virus y sus variantes Conozca sobre las ultimas amenazas de virus, troyanos y gusanos a la seguridad de los sistemas operativos y programas del mundo informatico.

Nuwar.AA. Se propaga por e-mail, descarga componentes

Compartir

Nombre: Nuwar.AA
Nombre NOD32: Win32/Nuwar.AA
Tipo: Gusano de Internet y caballo de Troya
Alias: Nuwar.AA, Downloader.Tibs, Win32/Nuwar.AA
Fecha: 27/ene/07
Plataforma: Windows 32-bit

Este gusano puede llegar como adjunto en correos electrónicos enviados en forma de spam.

Aunque esta detección se refiere al archivo que se propaga vía e-mail, el gusano forma parte de una serie de múltiples componentes, algunos detectados con otros nombres (como Win32/Fuclip), que le permiten infectar archivos .EXE y .SCR, empaquetarse y ejecutarse como un archivo .RAR, o descargar y ejecutar otros archivos maliciosos.

Se propaga enviándose a si mismo como adjunto a direcciones electrónicas obtenidas en el equipo infectado.

Primero crea una copia de si mismo en la carpeta del sistema, además de liberar una copia de una variante del Win32/Fuclip.

También busca archivos .EXE y .SCR en el equipo infectado, y los modifica insertando su código en ellos para que cuando estos archivos se ejecuten, lancen una copia del propio gusano.

Descarga un archivo que contiene instrucciones que le permiten realizar diferentes acciones, como modificar los mensajes enviados, además de darle las direcciones para descargar nuevas versiones de si mismo y otros archivos.

Entre ellos, descarga y ejecuta un componente que le permite inyectarse y ejecutarse en archivos RAR, y otro que le permite utilizar técnicas de rootkit para ocultarse, escondiendo sus archivos, procesos y entradas en el registro de todos los archivos descargados.

Otro componente descargado le permite recolectar direcciones electrónicas, que son enviadas a sitios remotos para luego enviar spam (generalmente nuevas versiones de si mismo).

También descarga un troyano que abre una puerta trasera por la que puede recibir las instrucciones para lanzar su propia rutina de envío masivo de spam desde el equipo infectado, a petición de un usuario remoto.

Otro de los componentes descargados, le permite finalizar la ejecución de algunos programas de seguridad (antivirus y cortafuegos).

Además, deshabilita la conexión compartida a Internet y el cortafuego de Windows.

Esta variante puede llegar a nuestro PC en un mensaje electrónico con las siguientes características:

De: [una dirección falsa]

Asunto: [uno de los siguientes entre otros]
5 Reasons I Love You
A Bouquet of Love
A Day in Bed Coupon
A Hug & Roses
A Kiss for You
A Kiss So Gentle
A Monkey Rose for You
A Red Hot Kiss
A Relaxing Coupon
A Song to You
A Special Flower for You
A Special Kiss
A Sweet Love
A Token of My Love
A Weekend Getaway
Against All Odds
All For You
All That Matters
Angel of Love
Baby, I'll Be There
Back Together
Between Us
Bewitching Moonlight
Brand New Love
Can't Wait to See You!
Crazy way to say I Luv U
Cuddle Me Please
Cuddle Up
Dancing With You
Dinner Coupon
Doing It for You
Dream Date Coupon
Dream Girl
Emptiness Inside Me
Eternity of Your Love
Everyone Needs Someone
Fields Of Love
For Better of For Worse
For You
For You....My Love
Forever and Ever
Forever in Love
From this day forward
Full Heart
Hand in Hand
He Blessed Our Lives
Heart is Breaking
Heart of Mine
Hey Cutie
Hold Me (distant love)
Hold On
How Much I Love You
I Always Knew
I am Complete
I Am Lost In You
I Can't Function
I Love Thee
I Love You Mower
I Love You So
I Love You Soo Much
I Love You with All I Am
I Think of You
I Win with You
I wish
I Woof You
I Would Do Anything
I Would Give you Anything
If I Knew
I'll Be Your Man
In My Heart
Inside My Heart
Internet Love
It's Your Move
Just You
Just You & Me
Kiss Coupon
Kisses, Hugs & Roses
Let's Get Frisky
Longing for You
Love at First Sight
Love Birds
Love is in the Air
Love is all Around
Love Remains
Love You Deeply
Massage Coupon
Memories
Miracle of Love
Moonlit Waterfall
Most Beautiful Girl
My Eye on You
My Heart belongs to you
My Heart is Thinking
My Invitation
My Love
My Perfect Love
Old Together
Only You
Our Love
Our Love Everyday
Our Love is Strong
Our love is torn by miles
Our Love Nest
Our Love Will Last
Our Two Hearts
Our Wedding Day
P.M.S
Passionate Kiss
Pockets of Love
Puppy Love
Red Rose
Romantic Picnic Coupon
Rose for my Love
Safe and Sound
Safe With You
Search for One
Sending Kiss
Sending You My Love
Showers Of Love
So in Love
So Unique
Solitary Beauty
Someone at Last
Soul Partners
Steamy Dream
Summer Love
Take My Hand
Tender Whispers
The Candle's Light
The Dance of Love
The Letter
The Long Haul
The Love Bugs
The Miracle of Love
The Mood for Love
The Sweet Taste of Love
Thinking about you
This Day Forward
Til the End of Time
Till Morning's Light
Till Morninig's Light
Times Are Hard, I Luv U
To New Spouse
Together You and I
Touched by Love
True Love
Trunk Full Of Love
Twice Blest
Two of a Kind
Unique Love
Unmatchable Beauty
Vacation Love
Want You to Know
We Are Different
We Have Walked
We're a Perfect Fit
When I look at you
When I'm With You
Why I Love You
Wild Nights--Wild Nights
Will You?
Window of Beauty
Wish Upon a Star
With All My Love
With All of My Heart
With This Ring
Without Your Love
Won't you dance with me
Words I Write
Worthy of You
Wrapped in Your Arms
You + Me
You and I
You and I Forever
You are out of this world
You Brighten My Day
You Lucky Duck!
You Rock Me!
You Were Worth the Wait
Your Love Has Opened
Your Silly Smile
You're My Hero
You're so Far Away
You're Soo kissable
You're the One

Datos adjuntos: [uno de los siguientes archivos]

flash postcard.exe
greeting card.exe
greeting postcard.exe
postcard.exe

Cuando se ejecuta, puede crear los siguientes archivos (algunos de ellos quedarán ocultos por su característica de rootkit):

c:\windows\system32\adir.dll
c:\windows\system32\adirss.exe
c:\windows\system32\alsys.exe
c:\windows\system32\clcbt.exe
c:\windows\system32\game0.exe.exe
c:\windows\system32\game1.exe
c:\windows\system32\game2.exe
c:\windows\system32\game3.exe
c:\windows\system32\game4.exe
c:\windows\system32\game5.exe.exe
c:\windows\system32\peers.ini
c:\windows\system32\svcp.csv
c:\windows\system32\taskdir.exe
c:\windows\system32\wincom32.sys
c:\windows\system32\zlbw.dll

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

También puede descargar y ejecutar otros archivos desde Internet.

Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows y crear un servicio:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
taskdir = "c:\windows\system32\taskdir.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE = "c:\windows\system32\ctfmon.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
clcbt.exe = "c:\windows\system32\clcbt.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
sysinter = "c:\windows\system32\adirss.exe"

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN COM32

HKLM\SYSTEM\CurrentControlSet\Services\wincom32

Modifica la siguiente entrada para desactivar el servicio Firewall de Windows y la conexión compartida a Internet (ICS):

HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s
Start = "4"

Puede finalizar procesos cuyos nombres contengan algunas de las siguientes cadenas, si los mismos están activos en el sistema afectado:

blackice
firewall
f-pro
Hijack
lockdown
Mcafee
msconfig
nod32
reged
Registry Editor
spybot
troja
vsmon
zonea


---------------------------------------------------------------------------------------------------
REPARACION MANUAL

NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
---------------------------------------------------------------------------------------------------
Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los archivos detectados por el Antivirus.
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Editar el registro de Windows

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 6 del ítem "Antivirus".

4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 6 del ítem "Antivirus".

6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Enum
\Root
\LEGACY_WINCOM32

7. Haga clic en la carpeta "LEGACY_WINCOM32" y bórrela.

8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\wincom32

9. Haga clic en la carpeta "wincom32" y bórrela.

10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\SharedAccess

11. Haga clic en la carpeta "SharedAccess" y en el panel de la derecha, bajo la columna "Nombre", busque y cambie el valor de la siguiente entrada por "2" en hexadecimal:

Start = "2"

12. Cierre el editor del registro.

13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Fuente: VSANTIVIRUS
[hr]


Archivo HOSTS | Antivirus NOD32 | Agnitum Outpost Firewall
Compartir
  #1  
Creado: 05-Feb-2007, a las 22:49 Vistas: 539
Categoria: Ultimas Amenazas de virus y sus variantes
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
componentes, descarga, email, propaga


Temas Similares
» Nuwar.T. Descarga y ejecuta múltiples componentes 0
» IRCBot.RV. Se propaga por redes, IM y e-mail 0
» Letum.C. Se propaga por e-mail y newsgroups 0
» Letum.B. Se propaga por e-mail y newsgroups 0
» Bagle.FY. Descarga y ejecuta otros componentes 0
» Bagle.FX. Descarga y ejecuta otros componentes 0
» Prorat. Libera, descarga y ejecuta otros componentes 0
» Mydoom.BJ. Se propaga por e-mail, descarga archivos 0
» W32/Drefir.E. Se propaga por e-mail e IRC 0
» W32/Mytob.CJ. Se propaga por e-mail e instala BOT 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 06:35.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2020, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4