SoloCodigo
Informática en general => Seguridad y Criptografía => Virus => Mensaje iniciado por: RadicalEd en Martes 18 de Octubre de 2005, 17:27
-
Peligrosidad: 3 - Media
Difusión:Baja Fecha de Alta:18-10-2005
Última Actualización:18-10-2005
Daño: Alto
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Fanbot@P2P+MM
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [P2P+MM] - Se propaga por redes P2P y correo electrónico.
Tamaño (bytes): 44032
Alias:W32.Fanbot.A@mm (Symantec), WORM_FANBOT.A (Trend Micro), W32/Fanbot-H (Sophos)
Detalles
Cuando Worm-Backdoor.W32/Fanbot@P2P+MM es ejecutado, realiza las siguientes acciones:
Muestra el siguiente mensaje falso de error:
(http://alerta-antivirus.red.es/imagenes/virus/fanbot.gif)
Se copia a sí mismo como %System%\remote.exe.
Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
Crea las siguientes subclaves en el registro de Windows:
Subclaves: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RpcRemotes
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RpcRemotes\Security
Para ejecutarse como un servicio cada vez que se reinicia el equipo, añade los valores indicados a las siguientes claves del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RpcRemotes
Valores: "ImagePath" = "%System%\remote.exe"
"DisplayName" = "Remote Procedure Call (RPC) Remote"
"Type" = "110"
"Start" = "2"
"ErrorControl" = "1"
"ObjectName" = "LocalSystem"
Crea un servicio con las siguientes características:
Nombre msotrado: Remote Procedure Call (RPC) Remote
Ruta: %System%\remote.exe
Tipo: Automatic
Abre una puerta trasera a través del puerto TCP 5262 y se conecta a alguno de los siguientes servidores IRC:
jojogirl.3322.org domain
SmallPhantom.meibu.com domain
Permanece en espera de recibir comandos procedentes de un atacante remoto, que permitirían a este realizar cualquiera de las siguientes acciones en el sistema afectado:
Ejecutar ficheros.
Descargar ficheros.
Recoger información del sistema.
Eliminar o actualizar el gusano.
Iniciar o detener la rutina de envío masivo de correo.
Intenta propagarse a través de las redes de intercambio de ficheros (P2P) dejando copias de sí mismo en aquellos directorios cuyos nombres contengan alguno de las siguientes cadenas de texto:
share
sharing
incoming
download
bak
bear
donkey
htdocs
http
ftp
www
icq
kazaa
lime
morpheus
mule
upload
soft
- caracteres chinos que significan "software" -
- caracteres chinos que significan "copia de seguridad" -
- caracteres chinos que significan "compartido" -
- caracteres chinos que significan "descarga" -
- caracteres chinos que significan "subida de ficheros" -
Worm-Backdoor.W32/Fanbot@P2P+MM se replica en los directorios antes citados con alguno de los siguientes nombres de fichero:
1001 Sex and more.rtf.exe
3D Studio Max 6 3dsmax.exe
ACDSee 10.exe
AcrobatReader_New.exe
activation_crack.exe
Adobe Photoshop 10 crack.exe
Adobe Photoshop 10 full.exe
Adobe Premiere 10.exe
Ahead Nero 8.exe
Altkins Diet.doc.exe
American Idol.doc.exe
angels.pif
Arnold Schwarzenegger.jpg.exe
Best Matrix Screensaver new.scr
Bifrost.scr
BlackIce_Firewall_Enterpriseactivation_Crack.exe
Britney sex xxx.jpg.exe
Britney Spears [REMOVED].jpg.exe
Britney Spears [REMOVED].jpg.exe
Britney Spears [REMOVED].jpg.exe
Britney Spears and Eminem porn.jpg.exe
Britney Spears full album.mp3.exe
Britney Spears porn.jpg.exe
Britney Spears Sexy archive.doc.exe
Britney Spears Song text archive.doc.exe
Britney Spears.jpg.exe
Britney Spears.mp3.exe
Butterfly.scr
Clone DVD 6.exe
Cloning.doc.exe
cool screensaver.scr
Cracks & Warez Archiv.exe
Dark Angels new.pif
dcom_patches.exe
Dictionary English 2004 - France.doc.exe
dictionary.doc.exe
DivX 8.0 final.exe
dolly_buster.jpg.pif
Doom 3 release 2.exe
doom2.doc.pif
e.book.doc.exe
E-Book Archive2.rtf.exe
e-book.archive.doc.exe
eminem - lick [REMOVED].mp3.pif
Eminem [REMOVED].jpg.exe
Eminem full album.mp3.exe
Eminem Poster.jpg.exe
Eminem sex xxx.jpg.exe
Eminem Sexy archive.doc.exe
Eminem Song text archive.doc.exe
Eminem Spears porn.jpg.exe
Eminem.mp3.exe
firefox-1.6a1.en-US.win32.installer.exe
Full album all.mp3.pif
Gimp 1.8 Full with Key.exe
Harry Potter 1-6 book.txt.exe
Harry Potter 5.mpg.exe
Harry Potter all e.book.doc.exe
Harry Potter e book.doc.exe
Harry Potter game.exe
Harry Potter.doc.exe
How to hack new.doc.exe
how to hack.doc.exe
icq2005-final.exe
Internet Explorer 9 setup.exe
'K.jpg.pif
Kazaa Lite 4.0 new.exe
Kazaa new.exe
Keygen 4 all new.exe
Kula.jpg.pif
Kula.scr
Learn Programming 2004.doc.exe
Lightwave 9 Update.exe
Magix Video Deluxe 5 beta.exe
Matrix.mpg.exe
matrix.scr
max payne 2.crack.exe
Maxthon_New.exe
Microsoft Office 2003 Crack best.exe
Microsoft WinXP Crack full.exe
MS Service Pack 6.exe
MSN7-final.exe
netsky source code.scr
Norton Antivirus 2005 beta.exe
nuke2004.exe
Office_Crack.exe
Opera 11.exe
Partitionsmagic 10 beta.exe
Porno Screensaver britney.scr
porno.scr
programming basics.doc.exe
Rain.scr
RealPlayer_New.exe
RFC compilation.doc.exe
rfc compilation.doc.exe
Ringtones.doc.exe
Ringtones.mp3.exe
Saddam Hussein.jpg.exe
Screensaver2.scr
Serial.txt.exe
Serials 2005_New.exe
Serials edition.txt.exe
Smashing the stack full.rtf.exe
Star Office 9.exe
Strip-Girl-2.0b.exe
strippoker.exe
Super Dollfie.pif
Teen Porn 15.jpg.pif
The Sims 4 beta.exe
TouchNet Browser 1.29b.exe
Ulead Keygen 2004.exe
UltraEdit-32 12.01 + Cracker.exe
virii.scr
Visual Studio Net Crack all.exe
Win Longhorn re.exe
Win Longhorn.doc.exe
WinAmp 13 full.exe
Winamp5.exe
Windows 2000 Sourcecode.doc.exe
Windows 2003 crack.exe
Windows XP crack.exe
WinXP eBook newest.doc.exe
Winxp_Crack.exe
XXX hardcore pics.jpg.exe
Intenta enviarse a sí mismo a través de correo electrónico utilizando para ello su propio motor SMTP (Simple Mail Transfer Protocol), lo que hace su funcionamiento independiente del cliente de correo instalado en el equipo.
El mensaje enviado tiene las siguientes características:
Remitente: alguno de los siguientes:
noreply@[- dominio del receptor -]
webmaster@[- dominio del receptor -]
register@[- dominio del receptor -]
info@[- dominio del receptor -]
admin@[- dominio del receptor -]
service@[- dominio del receptor -]
mail@[- dominio del receptor -]
administrator@[- dominio del receptor -]
support@[- dominio del receptor -]
Asunto: alguno de los siguientes:
Share Skype.
What is Skype?
Skype for Windows 1.4 - Have you got the new Skype?
Hello. We're Skype and we've got something we would like to share with you.
Your Account is Suspended.
*DETECTED* Online User Violation.
Your Account is Suspended For Security Reasons.
Warning Message: Your services near to be closed.
Important Notification!
Members Support.
Security measures.
Email Account Suspension.
Notice of account limitation.
Nota: El texto del asunto también podría estar en letras mayúsculas.
Cuerpo del mensaje: alguno de los siguientes:
Dear [- nombre de usuario -], Skype is a little pie [- eliminado -]
Legal Information
Nota: Los caracteres "--" se muestra como "/" en sistemas operativos en chino, pero podría mostrarse de diferente forma en otros lenguajes.
Dear user [- nombre de usuario -], You have success [- eliminado -]
+++ [- nombre del dominio -] Antivirus - www.[- nombre del dominio -]
Dear user [- nombre de usuario -], It has come to o [- eliminado -]
+++ [- nombre del dominio -] Antivirus - www.[- nombre del dominio -]
Dear [- nombre del dominio -] Member, We have temp [- eliminado -]
+++ [- nombre del dominio -] Antivirus - www.[- nombre del dominio -]
Dear [- nombre del dominio -] Member, Your e-mail [- eliminado -]
+++ [- nombre del dominio -] Antivirus - www.[- nombre del dominio -]
Fichero Anexo: [-nombre de fichero -].zip,
donde -nombre de fichero - es uno de los siguientes:
Skype-stuffs
Skype-info
Skype-details
Skype
readme
Skype-document
Share Skype
Skype for Windows 1.4
El fichero .zip contiene otro fichero cuyo nombre se forma de la siguiente forma:
Nombre_de_fichero . Extensión1 - muchos espacios en blanco -. Extensión2
donde:
Nombre_de_fichero es alguno de los antes mencionados
Extensión1 es alguna de las siguientes:
txt
htm
doc
tmp
Extensión2 es alguna de las siguientes:
bat
cmd
exe
scr
pif
El gusano evita enviarse a direcciones electrónicas que contengan alguna de las siguientes cadenas de texto:
root
info
samples
postmaster
webmaster
noone
nobody
nothing
anyone
someone
your
you
me
bugs
rating
site
contact
soft
no
somebody
privacy
service
help
not
submit
feste
ca
gold-certs
the.bat
page
support
spm
spam
www
secur
abuse
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
google
accoun
master
avp
syma
icrosof
msn.
hotmail
panda
sopho
borlan
inpris
example
mydomai
nodomai
ruslis
messagelabs
support
.gov
gov.
.mil
foo.
antivi
fbi
f-pro
freeav
f-secur
kaspersky
mcafee
norman
norton
symantec
viruslis
jiangmin
rising
duba
berkeley
unix
math
bsd
mit.e
gnu
fsf.
ibm.com
google
kernel
linux
fido
usenet
iana
ietf
rfc-ed
sendmail
arin.
ripe.
isi.e
isc.o
secur
acketst
pgp
tanford.e
utgers.ed
mozilla
sourceforge
slashdot
Intenta propagarse aprovechando la vulenrabilidad "Microsoft Windows Plug and Play Buffer Overflow", descrita en el Boletín de Seguridad de Microsoft MS05-039.
Crea una marca de infección al añadir el valor indicado a la siguientes clave del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup
Valor: "Ph4nt0m" = "Ph4nt0m"
Para deshabilitar el servicio wuauserv, modifica el valor indicado de la siguiente clave del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
Valor: "Start" = "4"
Para deshabilitar el servicio SharedAccess, modifica el valor indicado de la siguiente clave del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
Valor: "Start" = "4"
Añade al fichero %System%\drivers\etc\hosts las siguientes lineas de texto, para impedir el acceso a las direcciones indicadas, muchas de ellas pertenecientes a empresas antivirus:
Play with the best [- eliminado -] !!! thanks!!!
0.0.0.0 jiangmin.com
0.0.0.0 www.jiangmin.com (http://www.jiangmin.com)
0.0.0.0 Update2.JiangMin.com
0.0.0.0 Update3.JiangMin.com
0.0.0.0 rising.com.cn
0.0.0.0 www.rising.com.cn (http://www.rising.com.cn)
0.0.0.0 online.rising.com.cn
0.0.0.0 iduba.net
0.0.0.0 www.iduba.net (http://www.iduba.net)
0.0.0.0 kingsoft.com
0.0.0.0 db.kingsoft.com
0.0.0.0 scan.kingsoft.com
0.0.0.0 kaspersky.com.cn
0.0.0.0 www.kaspersky.com.cn (http://www.kaspersky.com.cn)
0.0.0.0 symantec.com.cn
0.0.0.0 www.symantec.com.cn (http://www.symantec.com.cn)
0.0.0.0 www.symantec.com (http://www.symantec.com)
0.0.0.0 securityresponse.symantec.com
0.0.0.0 symantec.com
0.0.0.0 www.sophos.com (http://www.sophos.com)
0.0.0.0 sophos.com
0.0.0.0 www.mcafee.com (http://www.mcafee.com)
0.0.0.0 mcafee.com
0.0.0.0 liveupdate.symantecliveupdate.com
0.0.0.0 www.viruslist.com (http://www.viruslist.com)
0.0.0.0 viruslist.com
0.0.0.0 viruslist.com
0.0.0.0 f-secure.com
0.0.0.0 www.f-secure.com (http://www.f-secure.com)
0.0.0.0 kaspersky.com
0.0.0.0 kaspersky-labs.com
0.0.0.0 www.avp.com (http://www.avp.com)
0.0.0.0 www.kaspersky.com (http://www.kaspersky.com)
0.0.0.0 avp.com
0.0.0.0 www.networkassociates.com (http://www.networkassociates.com)
0.0.0.0 networkassociates.com
0.0.0.0 www.ca.com (http://www.ca.com)
0.0.0.0 ca.com
0.0.0.0 mast.mcafee.com
0.0.0.0 my-etrust.com
0.0.0.0 www.my-etrust.com (http://www.my-etrust.com)
0.0.0.0 download.mcafee.com
0.0.0.0 dispatch.mcafee.com
0.0.0.0 secure.nai.com
0.0.0.0 nai.com
0.0.0.0 www.nai.com (http://www.nai.com)
0.0.0.0 update.symantec.com
0.0.0.0 updates.symantec.com
0.0.0.0 us.mcafee.com
0.0.0.0 liveupdate.symantec.com
0.0.0.0 customer.symantec.com
0.0.0.0 rads.mcafee.com
0.0.0.0 trendmicro.com
0.0.0.0 www.pandaguard.com (http://www.pandaguard.com)
0.0.0.0 pandasoftware.com
0.0.0.0 www.pandasoftware.com (http://www.pandasoftware.com)
0.0.0.0 www.trendmicro.com (http://www.trendmicro.com)
0.0.0.0 www.grisoft.com (http://www.grisoft.com)
0.0.0.0 www.microsoft.com (http://www.microsoft.com)
0.0.0.0 microsoft.com
0.0.0.0 www.virustotal.com (http://www.virustotal.com)
0.0.0.0 virustotal.com
Intenta detener la ejecución de los siguientes procesos, muchos de ellos relativos a antivirus y herramientas de seguridad:
A2HIJACKFREE.EXE
ADAM.EXE
AGTX0404.EXE
AGTX0411.EXE
AGTX0804.EXE
ALERTAST.EXE
ALESCAN.EXE
ALEUPDAT.EXE
ALUNOTIFY.EXE
ANTIVIRUS_UPDATE.EXE
APORTS.EXE
AUPDATE.EXE
BACKRAV.EXE
BLACKD.EXE
BLACKICE.EXE
BOTZOR.EXE
BRONSTAB.EXE
CCEMFLSV.EXE
CCENTER.EXE
CFGWIZ.EXE
CLEANUP.EXE
CMDAGENT.EXE
COOLBOT.EXE
CSM.EXE
CSSCAN.EXE
CVT.EXE
DEFWATCH.EXE
DWHWIZRD.EXE
EGHOST.EXE
EKSPLORASI.PIF
FINT2005.EXE
FRAMEWORKSERVICE.EXE
FRMINST.EXE
HELLMSN.SCR
HIJACKTHIS.EXE
HNETWIZ.EXE
HPMANAGER.EXE
IAMSTATS.EXE
ICESWORD.EXE
IDTEMPLATE.EXE
INBUILD.EXE
IPARMOR.EXE
ISSVC.EXE
JAVA.EXE
KATMAIN.EXE
KAV.EXE
KAV32.EXE
KAVDX.EXE
KAVLOG2.EXE
KAVPFW.EXE
KAVPFW.EXE
KAVSEND.EXE
KAVSTART.EXE
KAVSTART.EXE
KAVSVC.EXE
KILLBOX.EXE
KMAILMON.EXE
KNLPS.EXE
KNLSC13.EXE
KPFWSVC.EXE
KRECYCLE.EXE
KREGEX.EXE
KSHRMGR.EXE
KVCENTER.KXP
KVDETECH.EXE
KVDETECT.EXE
KVDISK.KXP
KVDOS.EXE
KVMONXP.KXP
KVOL.EXE
KVOLSELF.EXE
KVREPORT.KXP
KVSCAN.KXP
KVSRVXP.EXE
KVSTORY.KXP
KVSTUB.KXP
KVUPLOAD.EXE
KVWSC.EXE
KVXP.KXP
KWATCH.EXE
KWATCH9X.EXE
LANGSET.EXE
LDVPREG.EXE
LOGPARSER.EXE
LRSEND.EXE
LSETUP.EXE
LUALL.EXE
LUAWRAP.EXE
LUCOMSERVER.EXE
LUINIT.EXE
MAKEBOOT.EXE
MCAFFEAV.EXE
MCCONSOL.EXE
MCSCRIPT.EXE
MCSCRIPT_INUSE.EXE
MCUPDATE.EXE
MDAC.EXE
MOUSEBM.EXE
MOUSEMM.EXE
MOUSESYNC.EXE
MSAGENT.EXE
MSNMSGS.EXE
MSTASK.EXE
NAPRDMGR.EXE
NAVUSTUB.EXE
NDETECT.EXE
NVCHIP4.EXE
PATCH.EXE
PCCBROWS.EXE
PCCGUIDE.EXE
PCCLIENT.EXE
PCCLOG.EXE
PCCMAIN.EXE
PCCMDCOM.EXE
PCCSPYUI.EXE
PCCTLCOM.EXE
PCCTOOL.EXE
PCCVSCAN.EXE
PER.EXE
PFW.EXE
PHANTOM.EXE
PICX.EXE
PIREG.EXE
PM.EXE
PROCESSEXPLORER.EXE
RAV.EXE
RAVDOS.EXE
RAVHDBAK.EXE
RAVMON.EXE
RAVMOND.EXE
RAVPATCH.EXE
RAVSTORE.EXE
RAVSTUB.EXE
RAVTIMER.EXE
RAVXP.EXE
REALSCHED.EXE
REGCLEAN.EXE
REGGUIDE.EXE
REGSVR32.EXE
RESCUE.EXE
RFW.EXE
RFWMAIN.EXE
RFWSRV.EXE
RKDETECTOR.EXE
ROOTKITREVEALER.EXE
RSAGENT.EXE
RSCONFIG.EXE
RSSMS.EXE
RTVSCAN.EXE
RUNDLL32.EXE
SAVROAM.EXE
SCAN32.EXE
SCANBD.EXE
SCNCFG32.EXE
SCRIGZ.EXE
SERVCE.EXE
SETUPWIZ.EXE
SHCFG32.EXE
SHSTAT.EXE
SMARTDRV.EXE
SMARTUP.EXE
SMSS.EXE
SOUNDMAN.EXE
SYMANTECROOTINSTALLER.EXE
SYMCLNUP.EXE
SYSTEM.EXE
TASKGMR.EXE
TMNTSRV.EXE
TMOAGENT.EXE
TMPFW.EXE
TMPROXY.EXE
TRA.EXE
TRIALMSG.EXE
TROJANDETECTOR.EXE
TROJANWALL.EXE
TROJDIE.KXP
TSC.EXE
UNINSTALL.KXP
UPDATE.EXE
UPDATERUI.EXE
UPGRADE.EXE
VIRUSBOX.KXP
VPC32.EXE
VPDN_LU.EXE
VPTRAY.EXE
VSTSKMGR.EXE
WINHOST.EXE
WINLDR.EXE
WINTBP.EXE
WPA.EXE
WRITECAN.EXE
ZONEALARM.EXE
Nombres de Ficheros Adjuntos (virus que llegan por correo)
Skype for Windows 1.4.zip
Share Skype.zip
Skype-document.zip
readme.zip
Skype.zip
Skype-details.zip
Skype-info.zip
Skype-stuffs.zip
Asunto del mensaje (virus que llegan por correo)
Notice of account limitation.
Email Account Suspension.
Security measures.
Members Support.
Your Account is Suspended For Security Reasons.
Warning Message: Your services near to be closed.
Important Notification!
*DETECTED* Online User Violation.
Your Account is Suspended.
Skype for Windows 1.4 - Have you got the new Skype?
What is Skype?
Share Skype.