Domingo 22 de Diciembre de 2024, 23:46
SoloCodigo
Bienvenido(a),
Visitante
. Por favor,
ingresa
o
regístrate
.
¿Perdiste tu
email de activación?
Inicio
Foros
Chat
Ayuda
Buscar
Ingresar
Registrarse
SoloCodigo
»
Foros
»
Informática en general
»
Seguridad y Criptografía
»
Virus
(Moderador:
RadicalEd
) »
Bropia.n
« anterior
próximo »
Imprimir
Páginas: [
1
]
Autor
Tema: Bropia.n (Leído 1169 veces)
RadicalEd
Moderador
Mensajes: 2430
Nacionalidad:
Bropia.n
«
en:
Miércoles 16 de Febrero de 2005, 19:09 »
0
Peligrosidad: 3 - Media
Difusión: Baja Fecha de Alta:16-02-2005
Última Actualización:16-02-2005
Daño: Alto
[Explicación de los criterios] Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Bropia.N@IM
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
w32
Mecanismo principal de difusión: [IM] - Se propaga mediante programas de Mensajería instantánea, como MSN Messenger o AIM
Alias:W32.Bropia.N (Symantec), WORM_BROPIA.O (Trend Micro), W32/Bropia.worm.n (McAfee)
Detalles
Instalación
Cuando se ejecuta, descarga un fichero que contiene un gusano espía que será ejecutado a continuación.
Se copia a sí mismo con alguno de los siguientes nombres y borra el fichero recien descargado:
* %System%\winis.exe
* %System%\nvsc32.exe
Nota: %System% es una variable que representa la carpeta del sistema de Windows. Por defecto será C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
Puede añadir los siguientes valores a las claves de registro indicadas, para provocar su propia ejecución junto al arranque de Windows:
Valores:
* "win-xp" = "winis.exe"
* "win-xp" = "nvsc32.exe"
Claves:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices HKEY_LOCAL_MACHINE\Software\Microsoft\OLE HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Countrol\Lsa HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ RunServices HKEY_CURRENT_USER\Software\Microsoft\OLE HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Countrol\Lsa
Propagación
Intenta enviarse a todos los contactos activos de MSN Messenger en un mensaje que contiene un enlace para la descarga del del gusano.
También es capaz de propagarse a través de IRC, recursos de red compartidos, y por los puertos abiertos por otros troyanos. También puede utilizar ciertas vulnerabilidades.
Se conecta a canales predeterminados en ciertos servidores IRC y permanece a la espera de la conexión del atacante en el puerto 6667.
Busca máquinas conectadas en la misma red e intenta acceder a los recursos compartidos utilizando una lista propia de nombres de usuario y claves. Si consigue el acceso se copia en las unidades accedidas.
Intenta hacer uso de las siguientes vulnerabilidades:
* DCOM RPC vulnerability descrita en Microsoft Security Bulletin MS03-026 utilizando el puerto TCP 135
* Local Security Authority Service Remote Buffer Overflow descrita en Microsoft Security Bulletin MS04-011
* Workstation Service Buffer Overrun Vulnerability descrita en Microsoft Security Bulletin MS03-049 utilizando el puerto TCP 445.
También es capaz de detener la ejecución de multiples programas cortafuegos y antivirus.
Tweet
El pasado son solo recuerdos, el futuro son solo sueños
Imprimir
Páginas: [
1
]
« anterior
próximo »
SoloCodigo
»
Foros
»
Informática en general
»
Seguridad y Criptografía
»
Virus
(Moderador:
RadicalEd
) »
Bropia.n