Proyectos, Noticias, Experiencias, pruebas...

Nuevos virus…

En las ultimas horas han aparecido estos nuevos bichos…

Trojan.W32/Agent.NFX

Peligrosidad: 1 – Mínima

Descripción: Troyano para plataforma Windows que modifica el nivel de seguridad del sistema para permitir otras acciones

Detalles técnicos

  • Peligrosidad:1 – Mínima
  • Difusión:Baja
  • Daño:Medio
  • Dispersibilidad:Baja
  • Fecha de alta: 07/05/2010
  • Última actualización: 07/05/2010

Alias:

PROPAGACION:

  • Descargado por otro código malicioso o descargado sin el conocimiento del usuario al visitar una página Web infectada.
  • Descargarlo de algún programa de compartición de ficheros (P2P).

Infección/Efectos

Cuando Agent.NFX se ejecuta, realiza las siguientes acciones:

Crea los ficheros siguientes:

  • %User%Local SettingsApplication Datainowjfgenygtowvqtssd.exe

Nota: %User% es una variable que hace referencia al directorio del perfil del usuario actual.
Por defecto es C:Documents and Settings{ – usuario_actual – } (Windows NT/2000/XP).

Para cargarse al iniciar el sistema crea la siguiente entrada en el registro.

Clave: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
Valor: ylbrooht = %User%Local SettingsApplication Datainowjfgenygtowvqtssd.exe
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Valor: ylbrooht = %User%Local SettingsApplication Datainowjfgenygtowvqtssd.exe

Para disminuir el nivel de seguridad del sistema, crea las siguientes entradas:

Clave: HKCUSoftwareMicrosoftInternet ExplorerDownload
Valor: RunInvalidSignatures = 0x00000001
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesAttachments
Valor: SaveZoneInformation = 0x00000001
Clave: HKCUSoftwareMicrosoftInternet ExplorerDownload
Valor: CheckExeSignatures = no
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesAssociations
Valor: LowRiskFileTypes = .exe

También crea entradas en:

Clave: HKLMSOFTWAREavsoft
Clave: HKLMSOFTWAREavsuite
Clave: HKCUSoftwareMicrosoftWindows Script
Clave: HKCUSoftwareavsoft
Clave: HKCUSoftwareavsuite

Worm.W32/Scar.H@Otros

Peligrosidad: 3 – Media

Descripción: Gusano para la plataforma Windows que inutiliza el sistema operativo al sustituir diferentes archivos del sistema.

Detalles técnicos

  • Peligrosidad:3 – Media
  • Difusión:Baja
  • Daño:Alto
  • Dispersibilidad:Alta
  • Fecha de alta: 06/05/2010
  • Última actualización: 06/05/2010

El gusano se propaga a través de unidades de red compartidas así como en dispositivos de almacenamiento extraíbles.

Scar.H se propaga a cualquier unidad compartida o de almacenamiento extraíble mapeada con una letra. Crea los siguientes archivos con el atributo “oculto” activado:

  • WinNT.exe
  • AutoRun.inf

Infección/Efectos

Cuando Scar.H se ejecuta, realiza las siguientes acciones:

Cuando se ejecuta por primera vez, Scar.H crea una copia de sí mismo en los siguientes archivos:

  • %System% ntldr.exe
  • %Root% WinNT.exe
  • %Root% AutoRun.inf

Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000), o C:WindowsSystem32 (Windows XP).

Nota: %Root% es una variable que hace referencia al directorio raíz de una unidad del sistema, ya sea unidad de disco duro local, externo, lápiz USB, unidad de red….

Modifica las siguiente entradas del registro de Windows:

Clave: HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer 
Valor: NoDriveAutoRun = 0
Clave: HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer 
Valor: NoDriveTypeAutoRun = 0

Crea las siguiente entradas del registro de Windows:

Clave: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun 
Valor: NT4 hosting service = *:
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerPropSummary 
Valor: Advanced = 0

Scar.H es extremadamente destructivo. Modifica todos los archivos con extensión *.exe en la unidad C:/ por una copia de sí mismo. Esto implica que el sistema operativo dejará de funcionar . Seguidamente realizará la misma operación con los archivos ubicados en la carpeta System. La aplicación que maneja las excepciones y envía los reportes de error a Microsoft System/Drwtsn32.exe, al ser modificada por el virus, provocará un error que hará que el sistema operativo se vuelva inestable. Al reiniciar el ordenador se mostrará el siguiente mensaje:

No se a podido iniciar windows xq el siguiente archivo falta o esta dañado: <windows root>system32/ntoskrnl.exe. Reinstale una copia del archivo mencionado

2 Comentarios

  1. 10 mayo, 2010    

    Hola,
    yo soy deprimida …

    SuperSonic

  2. 18 mayo, 2010    

    Howdy there,Great article dude! i am just Fed up with using RSS feeds and do you use twitter?so i can follow you there:D.
    PS:Have you thought about putting video to the blog to keep the people more enjoyed?I think it works.Sincerely, Takako Vertiz

No Pings Yet

  1. Tweets that mention k0bra in the world » Nuevos virus… -- Topsy.com on 7 mayo, 2010 at 9:05 am

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


*

    Translate to:

Categorías