• Sábado 21 de Diciembre de 2024, 10:58

Autor Tema:  Spybot.ycl  (Leído 1242 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Spybot.ycl
« en: Viernes 7 de Octubre de 2005, 18:30 »
0
Peligrosidad: 3 - Media     
Difusión: Baja   Fecha de Alta:06-10-2005
Última Actualización:07-10-2005
Daño: Alto
[Explicación de los criterios]   
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Spybot.YCL@LSASS    
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [LSASS] - Gusano que se difundiende aprovechando la vulnerabilidad de LSASS (MS04-011) que afecta a Windows 2000 y XP.
Alias:W32.Spybot.YCL (Symantec), W32/Rbot-AQF (Sophos)
Detalles
Cuando es ejecutado, W32.Spybot.YCL realiza las siguientes acciones:

   1. Se copia como %System%\msnwindows.exe, donde %System% es una variable que se refiere a la carpeta de sistema de Windows

   2. Añade el valor

"System Service" = "msnwindows.exe"

      a las subclaves del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\OLE

      para ser ejecutado durante el inicio de Windows.

   3. Añade el valor:

"EnableDCom" = "N"

      a la subclave del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE

   4. Añade el valor

"restrictanonymous" = "1"

      a la entrada del registro

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

   5. Abre una puerta trasera mediante una conexión a un canal IRC en el dominio ircd.jessiejames.us a través del puerto TCP 7043. Esto permite a un atacante realizar las siguientes acciones en el PC:
          * Descargar y ejecutar ficheros
          * Listar, parar e iniciar procesos y subprocesos.
          * Lanzar ataques de dengación de servicio ACKK, SYN, UDP e ICMP
          * Realizar redirecciones de puertos
          * Enviar ficheros por IRC
          * Iniciar un servidor FTP local
          * Escanear puertos en la red buscando ordenadores vulnerables
          * Vaciar las cachés DNS y ARP
          * Abrir un interfaz de comandos en el PC infectado
          * Reiniciar el PC infectado
          * Obtener información del sistema
          * Olisquear el tráfico de red
          * Robar claves de CD de programas instalados
          * Registrar pulsaciones del teclado

   6. Se difunde a otros ordenadores explotando las siguientes vulnerabilidades:
          * Desbordamiento de búfer en Intefaz DCOM RPC de Microsoft Windows (MS03-026).
          * Desbordameinte de búfer en Local Security Authority Service (LSAS) de Microsoft Windows (MS04-011)
          * Desbordamiento de búfer en Plug & Play de Microsoft Windows (MS05-039)
          * Desbordamiento de búfer en ntdll.dll de Microsoft Windows (MS03-007).
          * Denegación de servicio en la biblioteca Microsoft Windows SSL (MS04-011).
          * ASN.1 de Microsoft Windows (MS04-007).
          * Desbordamiento de búfer en en DameWare Mini Remote Control Server Pre-Authentication (Bugtraq ID 9213).
          * Desbordamiento de búfer en VERITAS Backup Exec Agent Browser

   7. También se difunde a ordenadores comprometidos por otros programas maliciosos, como varias variantes de:
          * Mydoom
          * Beagle
          * Backdoor.Netdevil
          * Backdoor.Optix
          * Backdoor.Subseven

   8. Se difunde mediante otros recursos compartidos de red de Windows y Microsoft SLQ server usando los siguientes nombres de usuario y contraseñas:

      Nombres de usuario:

      * db2 * oracle * dba * database * default * guest * wwwadmin * teacher * student * owner * computer * staff * admins * administrat * administrateur * administrador * administrator

      Contraseñas:

      * intranet * lan * main * winpass * blank * office * control * nokia * siemens * compaq * dell * cisco * ibm * orainstall * sqlpassoainstall * sql * db1234 * db1 * databasepassword * data * databasepass * dbpassword * dbpass * access * domainpassword * domainpass * domain * hello * hell * god * sex * slut * bitch * fuck * exchange * backup * technical * loginpass * login * mary * katie * kate * george * eric * chris * ian * neil * lee * brian * susan * sue * sam * luke * peter * john * mike * bill * fred * joe * jen * bob * qwe * zxc * asd * qaz * win2000 * winnt * winxp * win2k * win98 * windows * oeminstall * oemuser * oem * user * homeuser * home * accounting * accounts * internet * www * web * outlook * mail * qwerty * null * server * system * changeme * linux * unix * demo * none * test * 2004 * 2003 * 2002 * 2001 * 2000 * 1234567890 * 123456789 * 12345678 * 1234567 * 123456 * 12345 * 1234 * 123 * 007 * pwd * pass * pass1234 * passwd * password * password1 * adm

   9. Intenta desactivar los siguientes procesos, algunos de los cuales están relacionados con productos de seguridad:

      * ACKWIN32.EXE * ADAWARE.EXE * ADVXDWIN.EXE * AGENTSVR.EXE * AGENTW.EXE * ALERTSVC.EXE * ALEVIR.EXE * ALOGSERV.EXE * AMON9X.EXE * ANTI-TROJAN.EXE * ANTIVIRUS.EXE * ANTS.EXE * APIMONITOR.EXE * APLICA32.EXE * APVXDWIN.EXE * ARR.EXE * ATCON.EXE * ATGUARD.EXE * ATRO55EN.EXE * ATUPDATER.EXE * ATWATCH.EXE * AU.EXE * AUPDATE.EXE * AUTODOWN.EXE * AUTO-PROTECT.NAV80TRY.EXE * AUTOTRACE.EXE * AUTOUPDATE.EXE * AVCONSOL.EXE * AVE32.EXE * AVGCC32.EXE * AVGCTRL.EXE * AVGNT.EXE * AVGSERV.EXE * AVGSERV9.EXE * AVGUARD.EXE * AVGW.EXE * AVKPOP.EXE * AVKSERV.EXE * AVKSERVICE.EXE * AVKWCTl9.EXE * AVLTMAIN.EXE * AVNT.EXE * AVP.EXE * AVP32.EXE * AVPCC.EXE * AVPDOS32.EXE * AVPM.EXE * AVPTC32.EXE * AVPUPD.EXE * AVSCHED32.EXE * AVSYNMGR.EXE * AVWIN95.EXE * AVWINNT.EXE * AVWUPD.EXE * AVWUPD32.EXE * AVWUPSRV.EXE * AVXMONITOR9X.EXE * AVXMONITORNT.EXE * AVXQUAR.EXE * BACKWEB.EXE * BARGAINS.EXE * bbeagle.exe * BD_PROFESSIONAL.EXE * BEAGLE.EXE * BELT.EXE * BIDEF.EXE * BIDSERVER.EXE * BIPCP.EXE * BIPCPEVALSETUP.EXE * BISP.EXE * BLACKD.EXE * BLACKICE.EXE * BLSS.EXE * BOOTCONF.EXE * BOOTWARN.EXE * BORG2.EXE * BPC.EXE * BRASIL.EXE * BS120.EXE * BUNDLE.EXE * BVT.EXE * CCAPP.EXE * CCEVTMGR.EXE * CCPXYSVC.EXE * CDP.EXE * CFD.EXE * CFGWIZ.EXE * CFIADMIN.EXE * CFIAUDIT.EXE * CFINET.EXE * CFINET32.EXE * Claw95.EXE * CLAW95CF.EXE * CLEAN.EXE * CLEANER.EXE * CLEANER3.EXE * CLEANPC.EXE * CLICK.EXE * CMD32.EXE * CMESYS.EXE * CMGRDIAN.EXE * CMON016.EXE * CONNECTIONMONITOR.EXE * CPD.EXE * CPF9X206.EXE * CPFNT206.EXE * CTRL.EXE * CV.EXE * CWNB181.EXE * CWNTDWMO.EXE * d3dupdate.exe * DATEMANAGER.EXE * DCOMX.EXE * DEFALERT.EXE * DEFSCANGUI.EXE * DEFWATCH.EXE * DEPUTY.EXE * DIVX.EXE * DLLCACHE.EXE * DLLREG.EXE * DOORS.EXE * DPF.EXE * DPFSETUP.EXE * DPPS2.EXE * DRWATSON.EXE * DRWEB32.EXE * DRWEBUPW.EXE * DSSAGENT.EXE * DVP95.EXE * DVP95_0.EXE * ECENGINE.EXE * EFPEADM.EXE * EMSW.EXE * ENT.EXE * ESAFE.EXE * ESCANH95.EXE * ESCANHNT.EXE * ESCANV95.EXE * ESPWATCH.EXE * ETHEREAL.EXE * ETRUSTCIPE.EXE * EVPN.EXE * EXANTIVIRUS-CNET.EXE * EXE.AVXW.EXE * EXPERT.EXE * EXPLORE.EXE * F-AGNT95.EXE * F-AGOBOT.EXE * FAMEH32.EXE * FAST.EXE * FCH32.EXE * FIH32.EXE * FINDVIRU.EXE * FIREWALL.EXE * FLOWPROTECTOR.EXE * FNRB32.EXE * FPROT.EXE * F-PROT.EXE * F-PROT95.EXE * FP-WIN.EXE * FP-WIN_TRIAL.EXE * FRW.EXE * FSAA.EXE * FSAV.EXE * FSAV32.EXE * FSAV530STBYB.EXE * FSAV530WTBYB.EXE * FSAV95.EXE * FSGK32.EXE * FSM32.EXE * FSMA32.EXE * FSMB32.EXE * F-STOPW.EXE * GATOR.EXE * GBMENU.EXE * GBPOLL.EXE * GENERICS.EXE * GMT.EXE * GUARD.EXE * GUARDDOG.EXE * HACKTRACERSETUP.EXE * HBINST.EXE * HBSRV.EXE * HIJACKTHIS.EXE * HOTACTIO.EXE * HOTPATCH.EXE * HTLOG.EXE * HTPATCH.EXE * HWPE.EXE * HXDL.EXE * HXIUL.EXE * i11r54n4.exe * IAMAPP.EXE * IAMSERV.EXE * IAMSTATS.EXE * IBMASN.EXE * IBMAVSP.EXE * ICLOAD95.EXE * ICLOADNT.EXE * ICMON.EXE * ICSUPP95.EXE * ICSUPPNT.EXE * IDLE.EXE * IEDLL.EXE * IEDRIVER.EXE * IEXPLORER.EXE * IFACE.EXE * IFW2000.EXE * INETLNFO.EXE * INFUS.EXE * INFWIN.EXE * INIT.EXE * INTDEL.EXE * INTREN.EXE * IOMON98.EXE * IPARMOR.EXE * IRIS.EXE * irun4.exe * ISASS.EXE * ISRV95.EXE * ISTSVC.EXE * JAMMER.EXE * JDBGMRG.EXE * JEDI.EXE * KAVLITE40ENG.EXE * KAVPERS40ENG.EXE * KAVPF.EXE * KAZZA.EXE * KEENVALUE.EXE * KERIO-PF-213-EN-WIN.EXE * KERIO-WRL-421-EN-WIN.EXE * KERIO-WRP-421-EN-WIN.EXE * KERNEL32.EXE * KILLPROCESSSETUP161.EXE * LAUNCHER.EXE * LDNETMON.EXE * LDPRO.EXE * LDPROMENU.EXE * LDSCAN.EXE * LNETINFO.EXE * LOADER.EXE * LOCALNET.EXE * LOCKDOWN.EXE * LOCKDOWN2000.EXE * LOOKOUT.EXE * LORDPE.EXE * LSETUP.EXE * LUALL.EXE * LUAU.EXE * LUCOMSERVER.EXE * LUINIT.EXE * LUSPT.EXE * MAPISVC32.EXE * MCAGENT.EXE * MCMNHDLR.EXE * MCSHIELD.EXE * MCTOOL.EXE * MCUPDATE.EXE * MCVSRTE.EXE * MCVSSHLD.EXE * MD.EXE * MFIN32.EXE * MFW2EN.EXE * MFWENG3.02D30.EXE * MGAVRTCL.EXE * MGAVRTE.EXE * MGHTML.EXE * MGUI.EXE * MINILOG.EXE * MMOD.EXE * MONITOR.EXE * MOOLIVE.EXE * MOSTAT.EXE * MPFAGENT.EXE * MPFSERVICE.EXE * MPFTRAY.EXE * MRFLUX.EXE * MSAPP.EXE * MSBB.EXE * MSBLAST.EXE * MSCACHE.EXE * MSCCN32.EXE * MSCMAN.EXE * MSCONFIG.EXE * mscvb32.exe * MSDM.EXE * MSDOS.EXE * MSIEXEC16.EXE * MSINFO32.EXE * MSLAUGH.EXE * MSMGT.EXE * MSMSGRI32.EXE * MSSMMC32.EXE * MSSYS.EXE * MSVXD.EXE * MU0311AD.EXE * MWATCH.EXE * N32SCANW.EXE * NAV.EXE * NAVAP.NAVAPSVC.EXE * NAVAPSVC.EXE * NAVAPW32.EXE * NAVDX.EXE * NAVENGNAVEX15.NAVLU32.EXE * NAVLU32.EXE * NAVNT.EXE * NAVSTUB.EXE * NAVW32.EXE * NAVWNT.EXE * NC2000.EXE * NCINST4.EXE * NDD32.EXE * NEOMONITOR.EXE * NEOWATCHLOG.EXE * NETARMOR.EXE * NETD32.EXE * NETINFO.EXE * NETMON.EXE * NETSCANPRO.EXE * NETSPYHUNTER-1.2.EXE * NETSTAT.EXE * NETUTILS.EXE * NISSERV.EXE * NISUM.EXE * NMAIN.EXE * NOD32.EXE * NORMIST.EXE * NORTON_INTERNET_SECU_3.0_407.EXE * NOTSTART.EXE * NPF40_TW_98_NT_ME_2K.EXE * NPFMESSENGER.EXE * NPROTECT.EXE * NPSCHECK.EXE * NPSSVC.EXE * NSCHED32.EXE * NSSYS32.EXE * NSTASK32.EXE * NSUPDATE.EXE * NT.EXE * NTRTSCAN.EXE * NTVDM.EXE * NTXconfig.EXE * NUI.EXE * NUPGRADE.EXE * NVARCH16.EXE * NVC95.EXE * NVSVC32.EXE * NWINST4.EXE * NWSERVICE.EXE * NWTOOL16.EXE * OLLYDBG.EXE * ONSRVR.EXE * OPTIMIZE.EXE * OSTRONET.EXE * OTFIX.EXE * OUTPOST.EXE * OUTPOSTINSTALL.EXE * OUTPOSTPROINSTALL.EXE * PADMIN.EXE * PandaAVEngine.exe * PANIXK.EXE * PATCH.EXE * PAVCL.EXE * PAVPROXY.EXE * PAVSCHED.EXE * PAVW.EXE * PCC2002S902.EXE * PCC2K_76_1436.EXE * PCCIOMON.EXE * PCCNTMON.EXE * PCCWIN97.EXE * PCCWIN98.EXE * PCDSETUP.EXE * PCFWALLICON.EXE * PCIP10117_0.EXE * PCSCAN.EXE * PDSETUP.EXE * PENIS.EXE * Penis32.exe * PERISCOPE.EXE * PERSFW.EXE * PERSWF.EXE * PF2.EXE * PFWADMIN.EXE * PGMONITR.EXE * PINGSCAN.EXE * PLATIN.EXE * POP3TRAP.EXE * POPROXY.EXE * POPSCAN.EXE * PORTDETECTIVE.EXE * PORTMONITOR.EXE * POWERSCAN.EXE * PPINUPDT.EXE * PPTBC.EXE * PPVSTOP.EXE * PRIZESURFER.EXE * PRMT.EXE * PRMVR.EXE * PROCDUMP.EXE * PROCESSMONITOR.EXE * PROCEXPLORERV1.0.EXE * PROGRAMAUDITOR.EXE * PROPORT.EXE * PROTECTX.EXE * PSPF.EXE * PURGE.EXE * PUSSY.EXE * PVIEW95.EXE * QCONSOLE.EXE * QSERVER.EXE * RAPAPP.EXE * rate.exe * RAV7.EXE * RAV7WIN.EXE * RAV8WIN32ENG.EXE * RAY.EXE * RB32.EXE * RCSYNC.EXE * REALMON.EXE * REGED.EXE * REGEDIT.EXE * REGEDT32.EXE * RESCUE.EXE * RESCUE32.EXE * RRGUARD.EXE * RSHELL.EXE * RTVSCAN.EXE * RTVSCN95.EXE * RULAUNCH.EXE * RUN32DLL.EXE * RUNDLL.EXE * RUNDLL16.EXE * RUXDLL32.EXE * SAFEWEB.EXE * SAHAGENT.EXE * SAVE.EXE * SAVENOW.EXE * SBSERV.EXE * SC.EXE * SCAM32.EXE * SCAN32.EXE * SCAN95.EXE * SCANPM.EXE * SCRSCAN.EXE * SCRSVR.EXE * SCVHOST.EXE * SD.EXE * SERV95.EXE * SERVICE.EXE * SERVLCE.EXE * SERVLCES.EXE * SETUP_FLOWPROTECTOR_US.EXE * SETUPVAMEEVAL.EXE * SFC.EXE * SGSSFW32.EXE * SH.EXE * SHELLSPYINSTALL.EXE * SHN.EXE * SHOWBEHIND.EXE * SMC.EXE * SMS.EXE * SMSS32.EXE * SOAP.EXE * SOFI.EXE * SPERM.EXE * SPF.EXE * SPHINX.EXE * SPOLER.EXE * SPOOLCV.EXE * SPOOLSV32.EXE * SPYXX.EXE * SREXE.EXE * SRNG.EXE * SS3EDIT.EXE * ssate.exe * SSG_4104.EXE * SSGRATE.EXE * ST2.EXE * START.EXE * STCLOADER.EXE * SUPFTRL.EXE * SUPPORT.EXE * SUPPORTER5.EXE * SVC.EXE * SVCHOSTC.EXE * SVCHOSTS.EXE * SVSHOST.EXE * SWEEP95.EXE * SWEEPNET.SWEEPSRV.SYS.SWNETSUP.EXE * SYMPROXYSVC.EXE * SYMTRAY.EXE * SYSEDIT.EXE * sysinfo.exe * SysMonXP.exe * SYSTEM.EXE * SYSTEM32.EXE * SYSUPD.EXE * TASKMG.EXE * TASKMO.EXE * TASKMON.EXE * TAUMON.EXE * TBSCAN.EXE * TC.EXE * TCA.EXE * TCM.EXE * TDS2-98.EXE * TDS2-NT.EXE * TDS-3.EXE * TEEKIDS.EXE * TFAK.EXE * TFAK5.EXE * TGBOB.EXE * TITANIN.EXE * TITANINXP.EXE * TRACERT.EXE * TRICKLER.EXE * TRJSCAN.EXE * TRJSETUP.EXE * TROJANTRAP3.EXE * TSADBOT.EXE * TVMD.EXE * TVTMD.EXE * UNDOBOOT.EXE * UPDAT.EXE * UPDATE.EXE * UPGRAD.EXE * UTPOST.EXE * VBCMSERV.EXE * VBCONS.EXE * VBUST.EXE * VBWIN9X.EXE * VBWINNTW.EXE * VCSETUP.EXE * VET32.EXE * VET95.EXE * VETTRAY.EXE * VFSETUP.EXE * VIR-HELP.EXE * VIRUSMDPERSONALFIREWALL.EXE * VNLAN300.EXE * VNPC3000.EXE * VPC32.EXE * VPC42.EXE * VPFW30S.EXE * VPTRAY.EXE * VSCAN40.EXE * VSCENU6.02D30.EXE * VSCHED.EXE * VSECOMR.EXE * VSHWIN32.EXE * VSISETUP.EXE * VSMAIN.EXE * VSMON.EXE * VSSTAT.EXE * VSWIN9XE.EXE * VSWINNTSE.EXE * VSWINPERSE.EXE * W32DSM89.EXE * W9X.EXE * WATCHDOG.EXE * WEBDAV.EXE * WEBSCANX.EXE * WEBTRAP.EXE * WFINDV32.EXE * WGFE95.EXE * WHOSWATCHINGME.EXE * WIMMUN32.EXE * WIN32.EXE * WIN32US.EXE * WINACTIVE.EXE * WIN-BUGSFIX.EXE * WINDOW.EXE * WINDOWS.EXE * WININETD.EXE * WININIT.EXE * WININITX.EXE * WINLOGIN.EXE * WINMAIN.EXE * WINNET.EXE * WINPPR32.EXE * WINRECON.EXE * WINSERVN.EXE * WINSSK32.EXE * WINSTART.EXE * WINSTART001.EXE * winsys.exe * WINTSK32.EXE * winupd.exe * WINUPDATE.EXE * WKUFIND.EXE * WNAD.EXE * WNT.EXE * WRADMIN.EXE * WRCTRL.EXE * WSBGATE.EXE * WUPDATER.EXE * WUPDT.EXE * WYVERNWORKSFIREWALL.EXE * XPF202EN.EXE * ZAPRO.EXE * ZAPSETUP3001.EXE * ZATUTOR.EXE * ZONALM2601.EXE * ZONEALARM.EXE * _AVP32.EXE * _AVPCC.EXE * _AVPM.EXE
El pasado son solo recuerdos, el futuro son solo sueños