SoloCodigo
Informática en general => Seguridad y Criptografía => Virus => Mensaje iniciado por: RadicalEd en Sábado 2 de Octubre de 2004, 19:25
-
-Noomy.A y Bagle.BB-, y a un troyano denominado HardFull.A.
Noomy.A se propaga a través del correo electrónico y de IRC. Cuando lo hace
por e-mail se envía a direcciones que no contienen ciertas subcadenas y que
obtiene en ficheros cuya extensión es: .dbx, .htm, .html o .php. Por otra
parte, cuando se manda por IRC, Noomy.A implementa su propio servidor HTTP y
envía varios mensajes a canales IRC que tiene codificados, junto con enlaces
que invitan a conectarse al servidor HTTP del ordenador infectado. En la
práctica, al acceder a los enlaces, se abre una página desde donde pueden
descargase las copias del gusano.
La propagación y el payload de Noomy.A dependen de la fecha en la que se
ejecuta y del tipo de conexión a Internet utilizada. Entre las acciones que
puede llevar a cabo este gusano destacan las siguientes:
- Finaliza procesos pertenecientes a herramientas de seguridad -como, por
ejemplo, programas antivirus y cortafuegos-, dejando así al equipo
vulnerable al ataque de otros ejemplares de malware.
- Ataque de denegación de servicio, mediante el comando ping, a varios
sitios entre los que se encuentra el de Microsoft.
- Se conecta a un enlace para enviar datos del PC, como hora y fecha del
sistema, si utiliza mswinsck.ocx, servidor SMTP y usuario de correo que
utiliza Outlook.
Tras ser ejecutado Noomy.A muestra un mensaje en pantalla, por lo que su
presencia en un equipo es fácilmente reconocible.
El segundo gusano del presente informe es Bagle.BB, que se difunde a través
del correo electrónico -en un mensaje escrito en inglés y de características
variables-, y de programas de intercambio de archivos punto a punto (P2P).
Bagle.BB abre el puerto TCP 81 y permanece a la escucha, a la espera de que
se realice una conexión remota. A través de ella, permite acceder -de forma
remota- al ordenador al que afecta, para realizar en él acciones que pueden
comprometer la confidencialidad de los datos del usuario o dificultar su
trabajo.
Bagle.BB termina procesos pertenecientes a herramientas de seguridad como,
por ejemplo, programas antivirus, dejando así al equipo indefenso a los
ataques de otro malware. Además, Bagle.BB elimina del Registro de Windows
las entradas correspondientes a variantes del gusano Netsky, evitando así
que se ejecuten cuando se inicia el equipo.
Finalizamos el presente informe con HardFull.A, troyano que no se propaga
automáticamente por sus propios medios, ya que precisa de la intervención
del atacante para ello. Los medios empleados para difundirlo son variados e
incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico
con archivos adjuntos, descargas de Internet, etc.
HardFull.A crea un archivo que se llena a sí mismo con el texto
Win32.Delf.du_Ful, incrementando así su tamaño hasta que ocupa todo el
espacio disponible en el disco duro, provocando la ralentización e incluso
el bloqueo del equipo. Igualmente, este troyano desactiva las herramientas
de edición del Registro de Windows, y las opciones "Ejecutar" y "Buscar" del
menú Inicio.
-
Lindo Listado, hasta me saco las ganas de engriparme:
(http://www.eraquilmes.com.ar/salud/gripe.gif)