Informe de Incidencias Víricas
[11-06-01]
Trojan/Win.Nuker.Ew es un troyano que se aprovecha de una anomalía que afecta a equipos con Windows 3.11, Windows 95 (incluido OSR2), Windows NT 3.51, y Windows NT 4.0 (siempre y cuando estén conectados a la red).
El objetivo de este código malicioso es eliminar todas las conexiones
cliente-servidor que haya establecidas en el sistema atacando todos los puertos que se especifiquen, incluyendo el 139. Para conseguirlo manda datos Out Of Band (OOB) a una dirección IP concreta, así como a todos los puertos especificados por el usuario. En la práctica, cada vez que un ordenador recibe datos OOB muestra la pantalla azul que suele aparecer cuando se produce un error en Windows, haciendo necesario que se reinice el sistema.
Por su parte BCK/DonaldDick.154 es un troyano que, sin que el usuario se dé cuenta de ello, hace que el ordenador infectado se conecte a otro equipo. Mediante la conexión el PC afectado puede ser manejado, de forma remota, por otro ordenador. Además, BCK/DonaldDick.154 abre el puerto de comunicaciones TCP/IP 23476, intenta eliminar una serie de ficheros en el equipo afectado (entre los que se encuentran: OLEPROC.EXE, PNPMGR.PCI y NMIOPL.EXE) y crea varias entradas en el registro de Windows (para así poder ejecutarse en el sistema cada vez que éste se arranque).
El tercer troyano que analizamos hoy es Trojan/MonaGun. Borra diversos ficheros y directorios del sistema y, mientras lo hace, intenta distraer la atención del usuario mediante la presentación de una aplicación que le ofrece la posibilidad de ejecutar dos aplicaciones con animaciones que circulan por la Red.
El cuarto código malicioso que describimos es I-Worm/Scooter, gusano que se difunde de forma extremadamente rápida ya que se autoenvía a los 90 primeros nombres existentes en la libreta de direcciones de Microsoft Outlook del ordenador infectado. A su vez, si el directorio MIRC existe en el sistema, I-Worm/Scooter instala en dicho directorio el fichero "SCRIPT.INI". Este archivo será el encargado de enviar, a través de un canal de IRC, el fichero con el que infecta los equipos.
El segundo gusano del que hoy hablamos en Oxygen3 24h-365d es W32/Choke.A. Está escrito en Visual Basic 6.0, por lo que para poder ejecutarse necesita que exista en el ordenador la librería de ejecución de programas de Visual Basic 6 (el archivo MSVBVM6.DLL). Cuando lleva a cabo su infección, crea los archivos CHOKE.EXE y ABOUT.TXT en el directorio raíz del equipo atacado.
Finalizamos el presente informe con VBS/Whitehome, gusano creado en Visual Basic Script que se envía a todas los contactos de la libreta de direcciones de MS-Outlook y a ciertas direcciones que contiene el código del virus. Durante su ejecución crea varias copias de sí mismo con diferentes nombres y formatos en los directorios de instalación de Windows y en el del sistema. Por otra parte, si el nombre del usuario cumple determinadas condiciones, VBS/Whitehome modifica el fichero c:\AUTOEXEC.BAT añadiéndole la instrucción DELTREE c:\, para que así se borre toda la información contenida en la unidad C:.
Artículos de actualidad ...
Archivo de artículos ...
|
