Nuevos virus…

En las ultimas horas han aparecido estos nuevos bichos…

Trojan.W32/Agent.NFX

Peligrosidad: 1 – Mínima

Descripción: Troyano para plataforma Windows que modifica el nivel de seguridad del sistema para permitir otras acciones

Detalles técnicos

• Nombre completo del virus: Trojan.W32/Agent.NFX
• Tipo de código: Trojan Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por si mismo.
• Plataformas afectadas: W32 Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95
• Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.

Alias:

• Troj/Agent-NFX (Sophos) 

PROPAGACION:

• Descargado por otro código malicioso o descargado sin el conocimiento del usuario al visitar una página Web infectada.
• Descargarlo de algún programa de compartición de ficheros (P2P).

Infección/Efectos

Cuando Agent.NFX se ejecuta, realiza las siguientes acciones:

Crea los ficheros siguientes:

• %User%Local SettingsApplication Datainowjfgenygtowvqtssd.exe

Nota: %User% es una variable que hace referencia al directorio del perfil del usuario actual.
Por defecto es C:Documents and Settings{ – usuario_actual – } (Windows NT/2000/XP).

Para cargarse al iniciar el sistema crea la siguiente entrada en el registro.

Clave: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

Valor: ylbrooht = %User%Local SettingsApplication Datainowjfgenygtowvqtssd.exe

Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionRun

Valor: ylbrooht = %User%Local SettingsApplication Datainowjfgenygtowvqtssd.exe

Para disminuir el nivel de seguridad del sistema, crea las siguientes entradas:

Clave: HKCUSoftwareMicrosoftInternet ExplorerDownload

Valor: RunInvalidSignatures = 0x00000001

Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesAttachments

Valor: SaveZoneInformation = 0x00000001

Clave: HKCUSoftwareMicrosoftInternet ExplorerDownload

Valor: CheckExeSignatures = no

Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesAssociations

Valor: LowRiskFileTypes = .exe

También crea entradas en:

Clave: HKLMSOFTWAREavsoft

Clave: HKLMSOFTWAREavsuite

Clave: HKCUSoftwareMicrosoftWindows Script

Clave: HKCUSoftwareavsoft

Clave: HKCUSoftwareavsuite

Worm.W32/Scar.H@Otros

Peligrosidad: 3 – Media

Descripción: Gusano para la plataforma Windows que inutiliza el sistema operativo al sustituir diferentes archivos del sistema.

Detalles técnicos

• Nombre completo del virus: Worm.W32/Scar.H@Otros
• Tipo de código: Worm Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores.
• Plataformas afectadas: Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95 :XP Microsoft Windows XP/ 2003 Microsoft Windows Server 2003/ 2000 Microsoft Windows 2000/ NT Microsoft Windows NT/ Me Microsoft Windows Millennium/ 98 Microsoft Windows 98/ 95 Microsoft Windows 95
• Mecanismo principal de difusión: Otros Otro mecanismo de propagación.
• Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.
• Alias:
  • W32/Scar-H (Sophos) 

El gusano se propaga a través de unidades de red compartidas así como en dispositivos de almacenamiento extraíbles.

Scar.H se propaga a cualquier unidad compartida o de almacenamiento extraíble mapeada con una letra. Crea los siguientes archivos con el atributo «oculto» activado:

• WinNT.exe
• AutoRun.inf

Infección/Efectos

Cuando Scar.H se ejecuta, realiza las siguientes acciones:

Cuando se ejecuta por primera vez, Scar.H crea una copia de sí mismo en los siguientes archivos:

• %System% ntldr.exe
• %Root% WinNT.exe
• %Root% AutoRun.inf

Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000), o C:WindowsSystem32 (Windows XP).

Nota: %Root% es una variable que hace referencia al directorio raíz de una unidad del sistema, ya sea unidad de disco duro local, externo, lápiz USB, unidad de red….

Modifica las siguiente entradas del registro de Windows:

Clave: HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer 
Valor: NoDriveAutoRun = 0

Clave: HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer 
Valor: NoDriveTypeAutoRun = 0

Crea las siguiente entradas del registro de Windows:

Clave: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun 
Valor: NT4 hosting service = *:

Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerPropSummary 
Valor: Advanced = 0

Scar.H es extremadamente destructivo. Modifica todos los archivos con extensión *.exe en la unidad C:/ por una copia de sí mismo. Esto implica que el sistema operativo dejará de funcionar . Seguidamente realizará la misma operación con los archivos ubicados en la carpeta System. La aplicación que maneja las excepciones y envía los reportes de error a Microsoft System/Drwtsn32.exe, al ser modificada por el virus, provocará un error que hará que el sistema operativo se vuelva inestable. Al reiniciar el ordenador se mostrará el siguiente mensaje:

No se a podido iniciar windows xq el siguiente archivo falta o esta dañado: <windows root>system32/ntoskrnl.exe. Reinstale una copia del archivo mencionado