SpamTool.Mailbot.NAC. Envía spam, utiliza rootkit

en Ultimas Amenazas de virus y sus variantes
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Seguridad, Spyware y Phishing : Ultimas Amenazas de virus y sus variantes
Ultimas Amenazas de virus y sus variantes Ultimas Amenazas de virus y sus variantes Conozca sobre las ultimas amenazas de virus, troyanos y gusanos a la seguridad de los sistemas operativos y programas del mundo informatico.

SpamTool.Mailbot.NAC. Envía spam, utiliza rootkit

Compartir

Nombre: SpamTool.Mailbot.NAC
Nombre NOD32: Win32/SpamTool.Mailbot.NAC
Tipo: Caballo de Troya
Alias: SpamTool.Mailbot.NAC, Mailbot.AZ, Backdoor.Rustock.Am, BKDR_RUSTOCK.A, SpamTool.Win32.Mailbot.az, Win32/SpamTool.Mailbot.NAC
Fecha: 22/jun/06
Actualizado: 11/jun/07
Plataforma: Windows 32-bit
Tamaño: 62,976 bytes

Caballo de Troya que utiliza el equipo infectado como servidor proxy, actuando como intermediario entre Internet y un grupo de usuarios. Esto le permite recibir peticiones de un atacante remoto, y redirigirlas a Internet desde el equipo infectado, en este caso para el envío masivo de spam.

Utiliza técnicas de rootkit para ocultar sus archivos y entradas en el registro. Un rootkit es una herramienta que permite acceder a un sistema como un usuario con todos los permisos (root), que en estos casos es utilizada para ocultar las actividades de un atacante dentro del sistema, después que éste ha logrado ingresar a él.

Además, para dificultar su detección y eliminación, utiliza las propiedades de almacenamiento de datos proporcionadas por el sistema de archivo NTFS (disponible en Windows NT, 2000 y XP). En estos sistemas, los archivos pueden contener diferentes "flujos" de datos. A esto se le llama "file stream". Puede compararse esto a tener varios archivos comprimidos dentro de un solo .ZIP. Cada stream es accesible como un archivo individual llamado ADS (Alternate Data Stream).

Al ejecutarse, el troyano puede crear los siguientes archivos (los nombres pueden variar según las variantes):
\TEMP\pe386.sys
c:\windows\system32\drivers\pe386.sys

NOTA: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows Vista, Windows XP y Windows Server 2003. Como "c:\winnt\system32" en Windows NT y 2000).

Puede crear el siguiente ADS (Alternate Data Stream) oculto:

c:\windows\System32:[nombre al azar]

Por ejemplo:

c:\windows\System32:18467

También crea un servicio de dispositivo oculto, con las siguientes características:

Nombre de servicio: pe386
Nombre para mostrar: Win23 PE files loader
Ruta de acceso al ejecutable: c:\windows\System32:[nombre]
Tipo: Automático

NOTA: El nombre "pe386" puede variar.

Para habilitar dicho servicio, la siguiente entrada en el registro es creada:

HKLM\SYSTEM\CurrentControlSet\Services\pe386

NOTA: Todas las entradas mencionadas, son ocultadas al usuario por la característica de rootkit mencionada antes. También intenta ocultarse de determinadas herramientas especializadas en la detección de rootkits, en concreto de aquellas que contengan algunas de las siguientes cadenas:

Anti-Rootkit
BlackLight
DarkSpy
endoscope.EXE
gmer.exe
Rkdetector
RootkitRevealer

El troyano intenta modificar el funcionamiento de los siguientes archivos del sistema, para intentar eludir cortafuegos y modificar la transferencia de paquetes vía redes:

ndis.sys
tcpip.sys
wanarp.sys

También intenta descargar e instalar otros programas como ICQ, y redireccionar el tráfico a determinadas páginas de Internet.


---------------------------------------------------------------------------------------------------
REPARACION MANUAL

NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
---------------------------------------------------------------------------------------------------
Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los archivos detectados por el Antivirus.
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Editar el registro de Windows

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services

3. Haga clic en la carpeta "Services" y busque y borre la carpeta cuyo nombre haga referencia a los archivos detectados en el punto 6 del ítem "Antivirus" (por ejemplo "pe386").

4. Cierre el editor del registro.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Fuente: VSANTIVIRUS
[hr]


Archivo HOSTS | Descargar Antivirus NOD32 | Comprar Antivirus NOD32 | Agnitum Outpost Firewall
Compartir
  #1  
Creado: 12-Jun-2007, a las 23:19 Vistas: 465
Categoria: Ultimas Amenazas de virus y sus variantes
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
envia, spam, spamtoolmailbotnac, rootkits


Temas Similares
» TrojanProxy.Slaper.Q. Envía spam, roba información 0
» TrojanProxy.Slaper.C. Envía spam, roba información 0
» Wigon.T. Instala y ejecuta archivos, envía spam 0
» Wigon.M. Instala y ejecuta archivos, envía spam 0
» Wigon.J. Instala y ejecuta archivos, envía spam 0
» Wigon.E. Instala y ejecuta archivos, envía spam 0
» SpamTool.Mailbot.BC. Envía spam, utiliza rootkit 0
» SpamTool.Mailbot. Envía spam, utiliza rootkit 0
» SpamTool.Small. Envía mensajes de forma masiva 0
» Troj/Mitglieder.BZ. Envía spam desde el PC infectado 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 17:05.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4