• Registrarse
  • Iniciar sesión


  • Resultados 1 al 6 de 6

    PELIGRO: cinco nuevas amenazas a tener en cuenta.

    Han surgido cinco amenazas nuevas a tener en cuenta: - El troyano Conhook.Q - El gusano Antinny.BM - El virus Adgunbe - El keylogger Ldpinch.SE - El troyano Inject.GI Conhook.Q Troyano que se registra a ...

          
    1. #1
      Usuario Avatar de Gwain26
      Registrado
      may 2008
      Ubicación
      ESPAÑA
      Mensajes
      3.830

      Mensaje PELIGRO: cinco nuevas amenazas a tener en cuenta.

      Han surgido cinco amenazas nuevas a tener en cuenta:

      - El troyano Conhook.Q
      - El gusano Antinny.BM
      - El virus Adgunbe
      - El keylogger Ldpinch.SE
      - El troyano Inject.GI


      Conhook.Q
      Troyano que se registra a sí mismo como un complemento de Internet Explorer (Browser Helper Object). Puede monitorizar la navegación del usuario y conectarse a servidores remotos.
      Método de infección/efectos:
      El troyano suele llegar al equipo como un fichero DLL con un nombre aleatorio. Cuando se ejecuta, crea la siguiente entrada del registro para asegurarse de que se ejecuta con cada reinicio del sistema:
      Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
      Valor: "MS Juan" = "rundll32 {nombre troyano},run"
      Donde {nombre troyano} es el nombre del fichero DLL.
      Crea el siguiente mutex para asegurarse de que sólo una única instancia del troyano se encuentra en ejecución:
      * RTMXN653427485934
      Modifica el registro para ejecutarse cada vez que se ejecute otra aplicación:
      Clave: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows
      Valor: "AppInit_DLLs" = "{nombre troyano}"
      Puede crear una o más de las siguientes claves del registro:
      Clave: HKLM\Software\Microsoft\MS Optimization
      Clave: HKLM\Software\Microsoft\MS Track System
      Clave: HKLM\Software\Microsoft\MS Juan
      Clave: HKLM\Software\Microsoft\HKLM\Software\Microsoft\jn_tr_{8 números aleatorios}
      Para registrarse como un complemento de Internet Explorer (Browser Helper Object) crea las siguientes entradas del registro:
      Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
      ShellExecuteHooks\{CLSID valor}
      Clave: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
      Browser Helper Object\{CLSID valor}
      Donde {CLSID valor} puede ser alguno de los valores siguientes:

      * {B7672BAF-E9A3-49B6-86B2-C81719A18A4C}
      * {849B9523-785F-4014-9CAF-079FB4A74C61}
      * {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA}
      * {F18F04B0-9CF1-4b93-B004-77A288BEE28B}
      * {0676CC61-CDC5-447e-AAFC-9D886EC820EB}
      * {7797F524-B819-42d0-B35A-0DACAF93E977}
      * {013A653B-49A6-4f76-8B68-E4875EA6BA54}
      * {14FD9304-A270-4d8c-B696-6B7DA0C1DF56}
      * {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6}
      * {3FD6B99C-A275-46ea-8FD1-3D63986E51E4}
      * {7DA39570-5FD2-4f18-94B4-20730CB3F727}
      * {68D5CF1D-EC5C-4bdd-A9EF-F0E517565D50}
      * {E03C740E-BB24-4d3c-B92A-6F84DE1DD99C}
      * {337C54C9-80C1-4de2-93CD-AAA510834074}
      * {D38439EC-4A7F-42b4-90C2-D810D7778FDD}
      * {57E218E6-5A80-4f0c-AB25-83598F25D7E9}
      * {67C55A8D-E808-4caa-9EA7-F77102DE0BB6}
      * {1557B435-8242-4686-9AA3-9265BF7525A4}
      * {D651AFF4-9590-424d-BD1E-8E33E090DFB3}
      * {E2EE5C44-C66D-499d-BEAE-A2A79189A63A}
      * {55DB983C-BDBF-426f-86F0-187B02DDA39B}
      * {A24B57F8-505D-4fc5-9960-740E304D1ABA}
      * {4B646AFB-9341-4330-8FD1-C32485AEE619}
      * {CD3447D4-CA39-4377-8084-30E86331D74C}
      * {DEBEB52F-CFA6-4647-971F-3EDB75B63AFA}
      * {8F2183B9-F4DB-4913-8F82-6F9CC42E4CF8}
      * {92A444D2-F945-4dd9-89A1-896A6C2D8D22}
      * {E12BFF69-38A7-406e-A8EF-2738107A7831}
      * {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0}
      * {1F6581D5-AA53-4b73-A6F9-41420C6B61F1}
      * {1126271C-A8C3-438c-B951-7C94B453B16B}
      * {938A8A03-A938-4019-B764-03FF8D167D79}
      * {CF46BFB3-2ACC-441b-B82B-36B9562C7FF1}
      * {C6039E6C-BDE9-4de5-BB40-768CAA584FDC}
      * {44218730-94E0-4b24-BBF0-C3D8B2BCE2C3}
      * {C24751C6-3976-419a-A776-915669E28A4D}
      * {47B83D78-F986-4E96-9769-2C55EF14DA0B}
      * {E64F0381-0053-4842-B3E5-08F6C4A0AEB6}
      * {32A5ED57-EA40-4869-8675-28EA463E6B23}
      * {89AD4D75-2429-462e-BD4E-443F233F6033}
      * {F9546B58-83B5-44bb-93CF-945253E58025}
      * {F864AD64-8376-447d-B5F4-EA4965E3E0EA}
      * {BE3E60A0-8087-4ad2-9386-500966D663B4}
      El troyano monitoriza la navegación web del usuario. Almacena las palabras que se utilizan en distintos motores de búsqueda.
      El troyano se conecta a la siguientes direcciones web:
      * suedomet.com
      * 85.12.43.70
      Método de propagación:
      El troyano no dispone de rutina de difusión propia, por lo que requiere de la participación de un usuario malicioso o de otro código malicioso para su propagación.

      Antinny.BM
      Gusano que utiliza el programa Winny P2P file sharing para dispersarse y que no tiene otra función conocida.
      Método de infección/efectos:
      1. Cuando se ejecuta se copia a si mismo:
      * %SystemDrive%\system653.exe
      Nota: %SystemDrive% es una variable que hace referencia a la unidad en la que Windows está instalado. Por defecto es C:.
      2. También crea los siguientes directorios:
      * %SystemDrive%\[Caracteres japoneses][números][nombre del usuario]

      3. Modifica la siguiente entrada de registro, para iniciarse en cada reinicio de sistema:
      Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      Valor: "c:\system653.exe"
      Método de propagación:
      1. Crea los siguientes directorios:
      * %SystemDrive%\LOG01
      * %SystemDrive%\LOG01\explorer
      * %SystemDrive%\LOG01\windows
      2. Modifica el fichero UpFolder.txt para incluir %SystemDrive%\LOG01 como fichero compartido del programa Winny P2P

      Adgunbe
      Virus que infecta la biblioteca Windows Socket 2.0 32-Bit y descarga un fichero.
      Método de infección/efectos:
      1. Infecta el fichero:
      * %System%\WS2_32.dll
      Este fichero es 30 KB mayor que el fichero original
      Nota: %System% es una variable que hace referencia al directorio del sistema de Windows. Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
      2. El virus intenta contactar con la siguiente direccion:
      * http://64.20.36.218/87AC0523D9BD6404F[oculto]
      3. Descarga el siguiente fichero:
      * %Temp%\aaa.dll
      Nota: %Temp% es una variable que representa la carpeta temporal de Windows.
      Por defecto es C:\Windows\temp (Windows 95/98/Me/XP), C:\Winnt\temp (Windows NT/2000) o C:\documents and settings\{nombre de usuario}\local settings\temp (Windows XP).
      4. El fichero descargado tiene la siguiente dirección en el cuerpo:
      * http://bannerd01.begun.ru/banner.jsp?&pad_id=90583776&ip=[IP del usuario]&version=3009&keywords=
      5. Crea o modifica las siguientes entradas de registro:
      Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
      Valor: "{78CA5032-9DDB-4640-BF8F-4D7C4D411254}"
      6. El troyano analiza las respuestas de varios motores de búsqueda:
      * google
      * begun
      * yandex
      * yahoo
      * aport
      * rambler
      * msn
      7. Por ultimo, modifica las siguientes APIs:
      *
      WSASocket
      * Socket
      * WSARecv
      * Recv
      * WSAConnect
      * Connect
      * Send

      ]Lpinch.SE
      Capturador de pulsaciones del teclado que almacena la informacion en un fichero de fuentes (ttf).
      Método de infección/efectos:
      Cuando se ejecuta crea los siguientes ficheros:
      o %Windir%\fonts\[nombre_aleatorio].ttf
      o %System%\[nombre_aleatorio].dll
      * Notas:
      o Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows. Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).
      o Nota: %System% es una variable que hace referencia al directorio del sistema de Windows. Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
      Crea las siguientes entradas de registro:
      Clave: HKCR\CLSID\[clsid_aleatorio]\HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
      \ShellExecuteHooks\
      Valor: "[clsid_aleatorio]"
      Otros detalles:
      o MD5: f87b0ce3127c29f5ebc0bd0891e03269
      o SHA1: 5333b0956ef9c3082f0c9e89cb7e2106ce84355b
      o SHA256: 8a1c43689b9d76e8c814e9b2acdbcd767e5f3055f8f2086372e6de363a263d72

      Inject.GI
      Troyano que se instala en sistemas Windows y que se utiliza para variar las reglas del cortafuegos.
      Método de infección/efectos:
      Cuando se ejecuta crea una copia de si mismo en:
      * %Windir%\sys32.exe
      %Windir% es una variable que hace referencia al directorio de instalación de Windows. Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).
      Crea o modifica las siguientes entradas de registro:
      Clave: HKLM\Software\Microsoft\Windows NT\CurrentVersion
      Valor: "msngr.exe"
      Valor: "sys32.exe"
      Clave: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
      Valor: "msngr.exe"
      Valor: "sys32.exe"
      Ademas modifica los valores del cortafuegos.

      Fuente: Alerta-antivirus.es

    2. #2
      Ex-Colaborador Avatar de Binnish
      Registrado
      ene 2009
      Ubicación
      España - Granad
      Mensajes
      15.219

      Re: PELIGRO: cinco nuevas amenazas a tener en cuenta.

      Gracias por la nota. Aquí estaremos con todo el arsenal preparado.

    3. #3
      Usuario Avatar de JuanD:
      Registrado
      jul 2008
      Ubicación
      Venezuela
      Mensajes
      1.962

      Re: PELIGRO: cinco nuevas amenazas a tener en cuenta.

      Cita Originalmente publicado por binnish Ver Mensaje
      Gracias por la nota. Aquí estaremos con todo el arsenal preparado.

      Binnish, seguro que si

      Salu2

    4. #4
      Usuario Avatar de centralkong
      Registrado
      ene 2009
      Ubicación
      A maìson in Archades
      Mensajes
      117

      Re: PELIGRO: cinco nuevas amenazas a tener en cuenta.

      Todos los antimalwares que tengo han sido actualizados
      Mientras espero a ver si estas amenazas pueden llegar a mi computadora, analizo ciertas muestras que conseguí de una computadora del colegio: Trojan:QQPass, Trojan:Lineage y no sé qué otros trastos
      (Cómo no me infecto? Antes de pasarlas vacuné el pendrive y renombré todos los exes a cualquier extensión menos ejecutables o infectables, ej. dsi, dsx, txt)

      Sólo por diversión...
      http://www.virustotal.com/analisis/39fdfe7562545f75eaae12e2d90beb1b
      http://www.virustotal.com/analisis/6ff77e4cf43266221d5b1af2761b48ad , http://www.threatexpert.com/report.aspx?md5=1781cb8004dc700ac66d799c35ac5c5a ==> QQPass/Hupigon :S me da miedo...


    5. #5
      Ex-Colaborador Avatar de @Fabian_Dres
      Registrado
      ago 2008
      Ubicación
      Chile
      Mensajes
      15.103

      Re: PELIGRO: cinco nuevas amenazas a tener en cuenta.

      Exelente la info amigo Gwain26

      Pues acá los espero para probarlos y darles como a mi me gusta.

      Espero no sepan artes marciales y esquiven mis derechasos.
      Anoika


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    6. #6
      Usuario Avatar de Gwain26
      Registrado
      may 2008
      Ubicación
      ESPAÑA
      Mensajes
      3.830

      Alegria Re: PELIGRO: cinco nuevas amenazas a tener en cuenta.

      Cita Originalmente publicado por Anoika Ver Mensaje
      Exelente la info amigo Gwain26

      Pues acá los espero para probarlos y darles como a mi me gusta.

      Espero no sepan artes marciales y esquiven mis derechasos.
      No creo que sepan artes marciales, aunque con el arsenal con el que contamos aquí no creo que les sirvan de mucho... si es que se atreven a aparecer por aquí. Si lo hacen recibiremos a nuestros nuevos "amigos" como se merecen