Download Virus W32/ACEBOT
Document related concepts
no text concepts found
Transcript
ALERTA ANTIVIRUS Edición Nº 86 27 de Octubre, 2003 www.pcm.gob.pe CONTENIDO INFORMACION DE VIRUS INFORMATICOS La Oficina Nacional de Gobierno Electrónico e Informática, presenta en esta Virus W32/ACEBOT oportunidad LA ALERTA ANTIVIRUS Nro. 86, en esta alerta damos a conocer la Virus W32/INMOTECD@MM información de los siguientes virus: W32/ACEBOT, W32/INMOTECD@MM, W32/DONK.B, HATOY.A y PETALA.A Las grandes compañías desarrolladoras de antivirus ya han actualizado sus definiciones para detectar estos nuevos virus. A continuación se presenta información detallada respecto a éstos virus. Virus W32/DONK.B Virus W32/ACEBOT Virus HATOY.A Virus PETALA.A CARACTERÍSTICAS El virus se propaga utilizando la red, aprovecha los recursos compartidos en estaciones de trabajo de redes locales (LAN), copia un archivo cuyo nombre es aleatorio con extensión .EXE. Actuando como Backdoor se conecta a un pre-determinado canal IRC (Internet Chat Relay) enviando información y recibiendo comandos remotos del hacker. Infecta Windows NT/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++ con una extensión de 168 KB y comprimido con el utilitario ASPack. Alias: Troj/Backdoor/Acebot, W32/Acebo MÉTODO DE INFECCIÓN Fuentes: Per Systems Panda Software Central Command Antivirus Segurinfo El virus ocasiona múltiples efectos perniciosos y hasta destructivos, deshabilita Firewalls, roba información y claves de acceso, las cuales envía al hacker a través de un canal del IRC (Internet Chat Relay), ocasiona un Ataque DoS o Negación de Servicio, saturando el tráfico en la red y se auto-elimina una vez iniciada sus actividades. Actuando como Backdoor, se conecta un canal de Chat del servidor irc.dalnet.com para enviar la información extraída de los sistemas infectados, a través de puertos TCP aleatorios del IRC y a su vez recibe instrucciones o comandos en forma remota del hacker poseedor del software Cliente. EFECTOS DE LA INFECCIÓN • Se propaga en unidades de disco de Redes con recursos compartidos de estaciones de trabajo de redes locales (LAN) con un archivo de nombre aleatorio, con extensión .EXE • Termina los procesos de diverso Firewalls dejando a los sistemas infectados vulnerables a los ataques de intrusos. • Captura información de la configuración del servidor y de las estaciones de trabajo. • Captura Claves de Acceso las cuales enviará al Hacker vía el IRC. • Controla remotamente programas de los sistemas infectados. • Descarga y ejecuta archivos. • Reinicia, suspende o apaga el sistema. • Borra archivos y formatea el disco duro. Virus W32/INMOTECD@MM CARACTERÍSTICAS Infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003. Está desarrollado en Visual C++ y comprimido con el utilitario UPX (Ultimate Packer for eXecutables). Alias: I.inmotecd@mm MÉTODO DE INFECCIÓN Es un virus de propagación masiva, a través de mensajes de correo con un archivo anexado de nombre Default.htm[espacios].pif, respondiendo a todos los remitentes de las computadoras infectadas. Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook y Outlook Express. MÉTODO DE INFECCIÓN Se propaga en Redes con recursos compartidos y estaciones de trabajo con contraseñas SENSIBLES, con un archivo Wnetlib.exe que actuando como "dropper" libera otros archivos. Actuando como Backdoor envía o recibe instrucciones vía un pre-determinado canal IRC (Internet Chat Relay). Además de enviar la información capturada y extraída de los sistemas atacados, el poseedor del Backdoor Cliente tomará el control de los mismos. Se propaga en carpetas y sub-carpetas de servidores y unidades de disco con recursos compartidos ocultos (IPC$) que emplean el protocolo SMB (Server Message Block). EFECTOS DE LA INFECCIÓN • • • EFECTOS DE LA INFECCIÓN • • Se propaga masivamente en mensajes de correo, haciendo uso de la Libreta de Direcciones de MS Outlook y Outlook Express. No tiene efectos destructivos, excepto que se conecta a una dirección en la web donde muestra las Claves de Activación de los CDs de programas de Microsoft. • • • • • Aprovecha la vulnerabilidad RPC de los sistemas operativos de Microsoft. Intenta ingresar a los servidores y estaciones de trabajo configurados con Claves de Acceso débiles. Se propaga a través de Redes remotas con recursos compartidos ocultos. Captura información del hardware y sistema operativo del servidor y de las estaciones de trabajo. Se conecta a una dirección de la web que se encuentra cifrada dentro del código del virus. Envía la información al hacker poseedor del Backdoor Cliente, vía el IRC. Ejecuta archivos y programas en forma remota. Ataca otros sistemas usando las vulnerabilidades RPC. Borra archivos y formatea el disco duro. Virus W32/DONK.B • CARACTERÍSTICAS Virus HATOY.A Infecta a Windows NT/2000/XP, incluyendo los servidores NT/2000, está programado en Visual C++, con una extensión de 77 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables). Alias: Troj/Backdoor/Donk.B, W32/Windrome MÉTODO DE INFECCIÓN El virus llega a la computadora cuando el usuario accede a una página web maliciosa. Para ello se aprovecha de la vulnerabilidad de Microsoft Internet Explorer que permite ejecutar automáticamente en la PC archivos contenidos en determinadas páginas. EFECTOS DE LA INFECCIÓN • Cuando se ejecuta el virus dirige a una dirección IP, que puede albergar diferentes páginas que se encuentran infectadas. los datos trabajo. • • CARACTERÍSTICAS MÉTODO DE INFECCIÓN usuario y dificultan su EFECTOS DE LA INFECCIÓN Virus PETALA.A Es un troyano backdoor que se difunde a través de redes y de IRC. del • Por su parte, las variantes B, C, D, E, F y G instalan programas espía y dialers en el equipo, sin que su propietario sea consciente de ello. Muestran diferentes ventanas con publicidad de páginas web pornográficas Añaden una barra de herramientas al navegador Internet Explorer. Permite a los hackers acceder, de manera remota, a la computadora para realizar mediante comandos de IRC- acciones (copiar archivos, finalizar procesos, etc.) que comprometen la confidencialidad de Se adjunta una lista de páginas web donde el usuario puede actualizar el antivirus: Per Antivirus http://www.persystems.net/ Zap Antivirus http://www.zapantivirus.com Panda Antivirus http://www.pandasoftware.es/ AVAST y AVAST32 http://www.antivir.com/support.htm The Hacker http://www.hacksoft.com.pe/ Sophos Antivirus http://www.us.sophos.com/downloads/ide/ ESafe http://www.esafe.com/download/virusig.html InoculateIT http://support.cai.com/Download/virussig.html Thunder Byte AntiVirus (TBAV) http://www.shark.nl/uk/downloaduk2.html AVG http://www.grisoft.com/html/us_updt.cfm Norton Antivirus (NAV) http://www.sarc.com/avcenter/download.html F-Prot http://www.commandcom.com/html/files.html McAfee VirusScan http://download.mcafee.com/updates/updates.asp Dr. Solomon's AVTK http://www.drsolomon.com/download/index.cfm IBM Antivirus http://www.symantec.com/avcenter/ibm/index.html Antiviral Toolkit Pro (AVP) http://www.kaspersky.ru Pc-Cillin http://www.antivirus.com/download/pattern.htm Unisva España S.A. ( BitDefender) http://www.bitdefender-es.com Si desea recibir nuestro boletín informativo suscríbase a nuestro correo [email protected]