SoloCodigo

Informática en general => Seguridad y Criptografía => Virus => Mensaje iniciado por: RadicalEd en Miércoles 12 de Marzo de 2008, 23:21

Título: Grider.b@us
Publicado por: RadicalEd en Miércoles 12 de Marzo de 2008, 23:21
Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta:08-03-2008
Última Actualización: 08-03-2008
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Grider.B@US    
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [US] - Unidades del sistema (locales, mapeadas, extraibles).
Tamaño (bytes): 385024
Alias:WORM_GRIDER.B (Trend Micro)
Detalles

Método de Infección/Efectos

Podría llegar a nuestro equipo de las siguientes maneras:

    * Descargado por otro malware.
    * A través de dispositivos compartidos de red.
    * Instalado manualmente por el usuario.
    * Descargando por el usuario sin darse cuenta cuando se visitan páginas Web maliciosas.

Deja las siguientes copias de sí mismo:

    * %System%\NetService.exe

%System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

Crea los siguientes archivos/componentes:

      * {carpeta actual}\{nombre de archivo aleatorio}.mht

Inunda la carpeta actual utilizando copias del archivo mencionado arriba. Estos archivos contienen las siguientes cadenas:

{\rtf1\ansi\deff0{\fonttbl{\f0\fnil\fcharset0 MS Sans Serif;}}
\viewkind4\uc1\pard\lang1033\f0\fs17 Virus Name: GhostRiderII
\par Author: MR. Virus
\par Date Released: 1st week of October, 2006
\par Email: mark.mendoza_01@yahoo.com.ph
\par Comment: This is my FIRST Virus program.
Your computer is infected with GhostRiderII Virus.
\par }

Crea la siguiente entrada en el registro para poder ejecutarse automáticamente cada vez que arranque el sistema:

Clave:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor:NetService = "%System%\NetService.exe"

Método de Propagación
Se propaga dejando una copia de si mismo en todas las carpetas, así como en todas las carpetas compartidas y dispositivos mapeados. Utiliza el nombre de la carpeta actual como el nombre de las copias de sí mismo que va dejando. Como resultado de lo anterior, podría reemplazar archivos normales por una copia de sí mismo si estos archivos normales también tienen el nombre de la carpeta en su nombre de archivo.

A continuación busca los archivos MSWINSCK.OCX y RICHTX32.OCX en la carpeta actual, que usará para ejecutarse correctamente. Estos archivos son no maliciosos y se utilizan en aplicaciones de MS Visual Basic para añadir la funcionalidad de programación de sockets.

Características de Puerta Trasera
Abre un puerto aleatorio para permitir a un usuario remoto conectarse al equipo afectado. Una vez que se establece una conexión exitosa, el usuario remoto puede ejecutar comandos en el equipo comprometido.

Esta rutina realmente compromete la seguridad del sitema afectado peligrosamente.

Otros Detalles
Se conecta a los siguiente sitios web:

    * http://{BLOQUEADO}indlx.com/taurus01/v1/datalist.asp?
    * http://{BLOQUEADO}indlx.com/taurus01/v2/datalist.asp?
    * http://{BLOQUEADO}indlx.com/taurus01/v3/datalist.asp?
    * http://{BLOQUEADO}01.somee.com/v1/datalist.asp?
    * http://{BLOQUEADO}01.somee.com/v2/datalist.asp?
    * http://{BLOQUEADO}01.somee.com/v3/datalist.asp?