• Jueves 28 de Marzo de 2024, 20:15

Autor Tema:  IVP  (Leído 1564 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
IVP
« en: Lunes 9 de Febrero de 2009, 15:29 »
0
Información extraida de Alerta Antivirus

Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta:09-02-2009
Última Actualización:09-02-2009
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Agent.IVP@MM+IRC    
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003 y Vista
Mecanismo principal de difusión: [MM+IRC] - Se difunde por envío masivo de correo a las direcciones recolectadas en la máquina y a través de canales IRC.
Tamaño (bytes): 29658
Alias:Troj/Agent.IVP (PerAntivirus), Troj/Agent-IVP (Sophos)
Detalles
Método de Infección/Efectos

El equipo se infecta con este gusano al ejecutar el usuario el fichero que lo contiene que recibe a través de canales IRC o en correos de SPAM.

Cuando se ejecuta se copia a si mismo a la siguiente ubicación:

    * %UserProfile%Application Dataeehleehl.exe

Nota: %UserProfile% es una variable que hace referencia al directorio del perfil del usuario actual.
Por defecto es C:Documents and Settings{- usuario_actual -} (Windows NT/2000/XP).

A continuación copia los siguientes archivos al equipo infectado:

    * %UserProfile%Application Dataeehlaoob.dll
    * %UserProfile%Application Dataeehleehl.dll

Crea a continuación la siguiente entrada del registro de Windows para ejecutarse de nuevo con cada reinicio del sistema:

Clave: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

Valor: eehl = "%UserProfile%Application Dataeehleehl.exe"

Al estar activado en segundo plano el sistema infectado, su componente Backdoor, a través de puertos TCP abiertos, permite que intrusos puedan ingresar al sistema desde canales del IRC (Internet Chat Relay) y poder ejecutar, entre otras, las siguientes acciones:

    * Capturar información crítica del sistema.
    * Descargar y ejecutar archivos con códigos arbitrarios.
    * Iniciar y terminar procesos en ejecución.
    * Controlar el sistema en forma remota.

Método de Propagación

Al siguiente inicio del equipo después de su infección, el gusano captura los buzones de correo de la Libreta de Direcciones de Windows (WAB) y asuntos de mensajes contenidos de los sistemas infectados a los cuales le adjunta el archivo eehl.exe e inicia su rutina de envio MultiSPAM.
Otros detalles

    * Está desarrollado en Assembler.
    * El código malicoso tiene un tamaño de 29658 bytes.
El pasado son solo recuerdos, el futuro son solo sueños