Download Virus W32/ACEBOT

page
1
page
2
page
3
Document related concepts
no text concepts found
Transcript 
ALERTA ANTIVIRUS
Edición Nº 86
27 de Octubre, 2003
www.pcm.gob.pe
CONTENIDO
INFORMACION DE VIRUS INFORMATICOS
La
Oficina Nacional de Gobierno
Electrónico e Informática, presenta en esta
Virus W32/ACEBOT
oportunidad LA ALERTA ANTIVIRUS
Nro. 86, en esta alerta damos a conocer la
Virus W32/INMOTECD@MM información de los siguientes virus:
W32/ACEBOT,
W32/INMOTECD@MM,
W32/DONK.B, HATOY.A y PETALA.A
Las
grandes
compañías
desarrolladoras de antivirus ya han
actualizado sus definiciones para
detectar estos nuevos virus. A
continuación se presenta información
detallada respecto a éstos virus.
Virus W32/DONK.B
Virus W32/ACEBOT
Virus HATOY.A
Virus PETALA.A
CARACTERÍSTICAS
El virus se propaga utilizando la red, aprovecha los recursos compartidos
en estaciones de trabajo de redes locales (LAN), copia un archivo cuyo
nombre es aleatorio con extensión .EXE. Actuando como Backdoor se
conecta a un pre-determinado canal IRC (Internet Chat Relay) enviando
información y recibiendo comandos remotos del hacker.
Infecta Windows NT/2000/XP, incluyendo los servidores NT/2000/Server
2003, está desarrollado en Visual C++ con una extensión de 168 KB y
comprimido con el utilitario ASPack.
Alias: Troj/Backdoor/Acebot, W32/Acebo
MÉTODO DE INFECCIÓN
Fuentes:
Per Systems
Panda Software
Central Command Antivirus
Segurinfo
El virus ocasiona múltiples efectos perniciosos y hasta destructivos,
deshabilita Firewalls, roba información y claves de acceso, las cuales envía
al hacker a través de un canal del IRC (Internet Chat Relay), ocasiona un
Ataque DoS o Negación de Servicio, saturando el tráfico en la red y se
auto-elimina
una
vez
iniciada
sus
actividades.
Actuando como Backdoor, se conecta un canal de Chat del servidor
irc.dalnet.com para enviar la información extraída de los sistemas
infectados, a través de puertos TCP aleatorios del IRC y a su vez recibe
instrucciones o comandos en forma remota del hacker poseedor del
software Cliente.
EFECTOS DE LA INFECCIÓN
• Se propaga en unidades de disco de Redes con recursos compartidos
de estaciones de trabajo de redes locales (LAN) con un archivo de
nombre aleatorio, con extensión .EXE
• Termina los procesos de diverso Firewalls dejando a los sistemas
infectados vulnerables a los ataques de intrusos.
• Captura información de la configuración del servidor y de las
estaciones de trabajo.
• Captura Claves de Acceso las cuales enviará al Hacker vía el IRC.
• Controla remotamente programas de los sistemas infectados.
• Descarga y ejecuta archivos.
• Reinicia, suspende o apaga el sistema.
• Borra archivos y formatea el disco duro.
Virus W32/INMOTECD@MM
CARACTERÍSTICAS
Infecta Windows 95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000/Server
2003.
Está desarrollado en Visual C++ y
comprimido con el utilitario UPX (Ultimate
Packer for eXecutables).
Alias: I.inmotecd@mm
MÉTODO DE INFECCIÓN
Es un virus de propagación masiva, a
través de mensajes de correo con un
archivo
anexado
de
nombre
Default.htm[espacios].pif, respondiendo
a
todos
los
remitentes
de
las
computadoras infectadas.
Haciendo uso de las funciones de las
librerías MAPI (Messaging Application
Programming Interface) se auto-envía a
todos los buzones de correo de la Libreta
de Direcciones de MS Outlook y Outlook
Express.
MÉTODO DE INFECCIÓN
Se propaga en Redes con recursos
compartidos y estaciones de trabajo con
contraseñas SENSIBLES, con un archivo
Wnetlib.exe que actuando como "dropper"
libera otros archivos.
Actuando como Backdoor envía o recibe
instrucciones vía un pre-determinado canal
IRC (Internet Chat Relay).
Además de enviar la información capturada
y extraída de los sistemas atacados, el
poseedor del Backdoor Cliente tomará el
control de los mismos.
Se propaga en carpetas y sub-carpetas de
servidores y unidades de disco con
recursos compartidos ocultos (IPC$) que
emplean el protocolo SMB (Server Message
Block).
EFECTOS DE LA INFECCIÓN
•
•
•
EFECTOS DE LA INFECCIÓN
•
•
Se propaga masivamente en mensajes
de correo, haciendo uso de la Libreta
de Direcciones de MS Outlook y
Outlook Express.
No tiene efectos destructivos, excepto
que se conecta a una dirección en la
web donde muestra las Claves de
Activación de los CDs de programas de
Microsoft.
•
•
•
•
•
Aprovecha la vulnerabilidad RPC de los
sistemas operativos de Microsoft.
Intenta ingresar a los servidores y
estaciones de trabajo configurados con
Claves de Acceso débiles.
Se propaga a través de Redes remotas
con recursos compartidos ocultos.
Captura información del hardware y
sistema operativo del servidor y de las
estaciones de trabajo.
Se conecta a una dirección de la web
que se encuentra cifrada dentro del
código del virus.
Envía la información al hacker poseedor
del Backdoor Cliente, vía el IRC.
Ejecuta archivos y programas en forma
remota.
Ataca otros sistemas usando las
vulnerabilidades RPC.
Borra archivos y formatea el disco
duro.
Virus W32/DONK.B
•
CARACTERÍSTICAS
Virus HATOY.A
Infecta a Windows NT/2000/XP, incluyendo
los servidores NT/2000, está programado
en Visual C++, con una extensión de 77
KB y comprimido con el utilitario UPX
(Ultimate Packer for eXecutables).
Alias: Troj/Backdoor/Donk.B, W32/Windrome
MÉTODO DE INFECCIÓN
El virus llega a la computadora cuando el
usuario accede a una página web
maliciosa. Para ello se aprovecha de la
vulnerabilidad
de
Microsoft
Internet
Explorer
que
permite
ejecutar
automáticamente en la PC archivos
contenidos en determinadas páginas.
EFECTOS DE LA INFECCIÓN
•
Cuando se ejecuta el virus dirige a una
dirección IP, que puede albergar
diferentes páginas que se encuentran
infectadas.
los datos
trabajo.
•
•
CARACTERÍSTICAS
MÉTODO DE INFECCIÓN
usuario
y
dificultan
su
EFECTOS DE LA INFECCIÓN
Virus PETALA.A
Es un troyano backdoor que se difunde a
través de redes y de IRC.
del
•
Por su parte, las variantes B, C, D, E, F
y G instalan programas espía y dialers
en el equipo, sin que su propietario sea
consciente de ello.
Muestran diferentes ventanas con
publicidad
de
páginas
web
pornográficas
Añaden una barra de herramientas al
navegador Internet Explorer.
Permite a los hackers acceder, de manera
remota, a la computadora para realizar mediante comandos de IRC- acciones
(copiar archivos, finalizar procesos, etc.)
que comprometen la confidencialidad de
‰ Se adjunta una lista de páginas web donde el usuario puede actualizar el antivirus:
Per Antivirus
http://www.persystems.net/
Zap Antivirus
http://www.zapantivirus.com
Panda Antivirus
http://www.pandasoftware.es/
AVAST y AVAST32
http://www.antivir.com/support.htm
The Hacker
http://www.hacksoft.com.pe/
Sophos Antivirus
http://www.us.sophos.com/downloads/ide/
ESafe
http://www.esafe.com/download/virusig.html
InoculateIT
http://support.cai.com/Download/virussig.html
Thunder Byte AntiVirus (TBAV)
http://www.shark.nl/uk/downloaduk2.html
AVG
http://www.grisoft.com/html/us_updt.cfm
Norton Antivirus (NAV)
http://www.sarc.com/avcenter/download.html
F-Prot
http://www.commandcom.com/html/files.html
McAfee VirusScan
http://download.mcafee.com/updates/updates.asp
Dr. Solomon's AVTK
http://www.drsolomon.com/download/index.cfm
IBM Antivirus
http://www.symantec.com/avcenter/ibm/index.html
Antiviral Toolkit Pro (AVP)
http://www.kaspersky.ru
Pc-Cillin
http://www.antivirus.com/download/pattern.htm
Unisva España S.A. ( BitDefender)
http://www.bitdefender-es.com
Si desea recibir nuestro boletín informativo suscríbase a nuestro correo
[email protected]
Related documents
VIRUS W32/EZIO@MM
VIRUS W32/EZIO@MM
Virus SDBOT.GEN
Virus SDBOT.GEN
Consejos para protegerse de los Virus Informáticos Lista de
Consejos para protegerse de los Virus Informáticos Lista de
virus w32/agobot.bqj
virus w32/agobot.bqj
virus plexus.b
virus plexus.b
virus w32/bugbear
virus w32/bugbear
manual de instalación distribución especial para redes
manual de instalación distribución especial para redes
VIRUS W32/Nachi.B.worm
VIRUS W32/Nachi.B.worm
Diapositiva 1 - CRA LOS GIRASOLES
Diapositiva 1 - CRA LOS GIRASOLES
Boletín Semanal #1
Boletín Semanal #1
Descarga - USERSHOP
Descarga - USERSHOP
virus worm_sasser.b
virus worm_sasser.b
RECOVERY LABS
RECOVERY LABS