Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Categoría: 1 (muy bajo riesgo)
Tipo: Troyano
Sistemas afectados: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Medio de contagio: IRC, puerto 3195 llamando a 123.dragonbreath.ru mediante una conexión TCP
Fecha de descubimiento: 17 de enero de 2005
Acciones que toma:

1. Crea una copia de si mismo en la máquina infectada
2. Crea esta entrada en el registro HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\n ethost, de manera que cada vez que windows arranca, el troyano se inicia.
3. Se conecta al servidor de IRC123.dragonbreath.ru en el puerto TCP 3195 y espera por los comandos del atacante remoto.
4. El atacante puede tomar una de las siguiente acciones
   • Acceder al MS-DOS con privilegios de administrador
   • Lanzar a UDP, SYN, or IGMP
   • Lanzar un ataque de correos masivos
5. Descarga y ejecuta actualizaciones desde kasssss.netfirms.com.
6. Escanea IP's buscando vulnerabilidades
   • Microsoft Windows LSASS Desbordamiento de buffer
   • Microsoft IIS y PWS Extended Unicode Directory Traversal (utilidad de estos servidores web)
   • Desbordamiento de buffer de la interfaz de Windows DCOM RPC

Eliminación:

Automaticamente:
Actualizar las definiciones del antivirus y ejecutarlo en modo seguro y efectuando un análisis profundo.

Manualmente:

1. Eliminar la clave del registro mencionada y reiniciar la máquina de manera que no se ejecute al arrancar.
2. Ejecutar el antivirus en modo análisis completo y borrar los archivos infectados

---

Comentario:
Al momento de escribir este mensaje, el servidor desde el quedescarga las actualizaciones reporta una carga para esa página superior a los 56 megas que concede, lo cual significa que reduce su efectividad, pero también indica que está bastante activo.

Páginas de referencia:
Inglés