• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    AVISO: Dos nuevas amenazas en la red

    WIN32/AGENT.OLJ y WIN32/PINIT.B Este ultimo ya lo henos tenido un par de veces en el foro, a continuación sus descripciones, métodos de propagación y desinfección: WIN32/AGENT.OLJ > INFORMACION Troyano que elimina archivos de carpetas especificas. ...

          
    1. #1
      Colaborador Avatar de Herrante
      Registrado
      jun 2008
      Ubicación
      España
      Mensajes
      5.283

      AVISO: Dos nuevas amenazas en la red

      WIN32/AGENT.OLJ y WIN32/PINIT.B



      Este ultimo ya lo henos tenido un par de veces en el foro, a continuación sus descripciones, métodos de propagación y desinfección:

      WIN32/AGENT.OLJ

      > INFORMACION
      Troyano que elimina archivos de carpetas especificas.

      > CARACTERISTICAS


      Cuando se ejecuta crea los siguientes archivos:

      c:\windows\temp\bt[caracteres al azar].bat
      c:\windows\Command\Command.bat
      c\users\[nombre de usuario]menú inicio
      \Programas\inicio\[caracteres al azar].bat

      c\users\[nombre de usuario]\Documentos
      \All Users\inicio\Programme\Autostart\Command.bat

      c:\archivos de programa\bt[caracteres al azar].bat

      Para ejecutarse en cada inicio el troyano crea la siguiente clave del registro:

      HKLM\Software\Microsoft\Windows\CurrentVersion\Run
      Winlogon" = "c:\windows\Command\Command.bat

      También crea las siguientes claves:

      HKLM\System\CurrentControlSet\Services\Mouclass
      "Start" = 4
      HKLM\System\CurrentControlSet\Services\Kbdclass
      "Start" = 4

      Los siguientes archivos son eliminados del equipo infectado:

      c:\*.sys
      c:\*.bin
      c:\*.bat
      c:\windows\system32\bootvid.dll
      c:\windows\system32\explorer.exe
      c:\windows\system32\bootvid.dll
      c:\windows\system32\explorer.exe
      c:\windows\system32\logon.scr
      c:\windows\system32\logonui.exe
      c:\windows\system32\logonui.exe.manifest
      c:\windows\system32\lsass.exe
      c:\windows\system32\seclogon.dll
      c:\windows\system32\taskmgr.exe
      c:\windows\system32\usrlogon.cmd
      c:\windows\system32\WindowsLogon.manifest
      c:\windows\system32\winlogon.exe
      c:\windows\system32\dllcache\logon.scr
      c:\windows\system32\dllcache\logonui.exe
      c:\windows\system32\dllcache\winlogon.exe
      c:\windows\bootstat.dat
      c:\windows\explorer.exe
      c:\windows\Cursors\*.*
      c:\windows\Prefetch\NTOSBOOT-B00DFAAD.pf

      Los siguientes procesos son ejecutados por el malware:

      iexplore.exe www.batch-rockz.dl.am
      net.exe user "-Sph1nX-" "0wn3d" /add"
      net.exe localgroup Administratoren "-Sph1nX-" /add
      net.exe user "Sph1nX - %random%" "%random%" /add
      net.exe localgroup Administratoren "Sph1nX - %random%" /add
      shutdown.exe -s -t 30 -c "%username% g0t 0wn3d bY -Sph1nX-"

      Los siguientes servicios son desactivados:

      AntiVirService
      cryptsvc
      Designs
      Anmeldedienst

      Los siguientes programas son terminados:

      avgnt.exe
      avguard.exe
      taskmgr.exe
      explorer.exe
      lsass.exe



      > INSTRUCCIONES PARA ELIMINARLO


      1. Reinicie en Modo a prueba de fallos.

      2. Ejecute un antivirus actualizado y elimine los archivos infectados.

      3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

      4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

      5. En Windows NT, 2000 y XP, abra la siguiente clave del registro:

      HKLM\SOFTWARE\Microsoft\Windows NT
      \CurrentVersion\Winlogon

      6. Modifique bajo la columna "Nombre", la entrada "Shell", para que solo contenga lo siguiente:

      Shell = explorer.exe

      6. Cierre el editor del Registro del sistema.

      7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.


      WIN32/PINIT.B

      > INFORMACION
      Gusano que se copia a si mismo en carpetas compartidas de la red local.

      > CARACTERISTICAS


      Cuando se ejecuta crea una copia de si mismo:

      c:\windows\system32\aston.mt

      También libera los siguientes archivos en la misma carpeta:

      nvaux32.dll
      e.spa
      adj.j
      devh.e2
      rdxz.e

      El archivo "c:\windows\system32\user32.dll" es modificado por el virus.

      Para ejecutarse en cada reinicio del sistema crea la siguiente clave:

      HKLM\SOFTWARE\Microsoft\Windows NT
      \CurrentVersion\Windows
      "%variable%Init_Dlls" = "nvaux32"

      Intenta copiarse a carpetas compartidas utilizando los siguientes datos.

      Nombre de usuario: administrator

      Contraseña:
      0
      1
      11
      13
      123
      133
      666
      777
      1212
      1234
      1313
      12345
      123456
      12345678
      !@#
      123abc
      a1b2c3
      abc123
      adm
      admin
      administrator
      alex
      andrew
      apple
      asa
      avalon
      baseball
      bear
      buster
      calvin
      canada
      carmen
      changeme
      computer
      diamond
      donald
      dragon
      fuckme
      fuckyou
      harley
      hello
      hockey
      internet
      jordan
      letmein
      maggie
      matthew
      michael
      michelle
      mickey
      mike
      miller
      mindy
      money
      mustang
      ou812
      pass
      password
      patrick
      q
      qaz
      qazxsw
      qqq
      qwerty
      qwerty
      ranger
      secret
      service
      shadow
      snoopy
      summer
      test
      test
      tiger
      tigger
      trustno1
      xxx
      zaq
      zaqwsx
      zzz

      Los nombres utilizados para copiarse pueden ser los siguientes:

      MarioForever.exe
      cls.exe

      Los siguientes archivos son eliminados por el gusano:

      c:\windows\system32\pla.ax
      c:\windows\system32\paso.el
      c:\windows\system32\ntpl.bin
      c:\windows\system32\aston.mt



      > INSTRUCCIONES PARA ELIMINARLO


      1. Reinicie en Modo a prueba de fallos.

      2. Ejecute un antivirus actualizado y elimine los archivos infectados.

      3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

      4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

      5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a alguno de los nombres anotados en el paso 3, en la siguiente clave del registro:

      HKLM\SOFTWARE\Microsoft\Windows NT
      \CurrentVersion\Windows

      6. Cierre el editor del Registro del sistema.

      7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.


      Fuente 1

      Fuente 2
      Un autentico héroe es aquel que ayuda a los demás sin esperar nada a cambio


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Ex-Colaborador Avatar de @Fabian_Dres
      Registrado
      ago 2008
      Ubicación
      Chile
      Mensajes
      15.103

      Re: AVISO: Dos nuevas amenazas en la red

      hola HERRANTE.

      simplemente de maestro tu información amigo , de maestro
      ya esta en mi dd


      saludos master
      Anoika


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.