• Registrarse
  • Iniciar sesión


  • Resultados 1 al 1 de 1

    ALERTA: Troresba (Gusano)

    Troresba Difusión: Baja Fecha de Alta:20-06-2009 Última Actualización:21-06-2009 Daño: Medio Dispersibilidad: Medio Nombre completo: [email protected]+DE Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través ...

          
    1. #1
      Colaborador Avatar de Herrante
      Registrado
      jun 2008
      Ubicación
      España
      Mensajes
      5.283

      Malware ALERTA: Troresba (Gusano)

      Troresba

      Difusión: Baja Fecha de Alta:20-06-2009
      Última Actualización:21-06-2009

      Daño: Medio

      Dispersibilidad: Medio

      Nombre completo: [email protected]+DE
      Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
      Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
      Mecanismo principal de difusión: [SMB+DE] - Se propaga a través de dispositivos de red y extraíbles.
      Tamaño (bytes): 237586

      Alias:W32.Troresba (Symantec)

      Método de Infección/Efectos

      Troresba copia los siguientes ficheros en el sistema comprometido cuando se ejecuta:

      * %ProgramFiles%\Analog Devices.exe
      * %ProgramFiles%\Analog Devices\SoundMAX.exe
      * %ProgramFiles%\Common Files.exe
      * %ProgramFiles%\Common Files\InstallShield.exe
      * %ProgramFiles%\Common Files\Microsoft Shared.exe
      * %ProgramFiles%\Common Files\MSSoap.exe
      * %ProgramFiles%\Common Files\ODBC.exe
      * %ProgramFiles%\Common Files\Services.exe
      * %ProgramFiles%\Common Files\SpeechEngines.exe
      * %ProgramFiles%\Common Files\System.exe
      * %ProgramFiles%\ComPlus Applications.exe
      * %ProgramFiles%\InstallShield Installation Information.exe
      * %ProgramFiles%\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}.exe
      * %ProgramFiles%\Internet Explorer.exe
      * %ProgramFiles%\Internet Explorer\Connection Wizard.exe
      * %ProgramFiles%\Internet Explorer\PLUGINS.exe
      * %ProgramFiles%\Internet Explorer\SIGNUP.exe
      * %ProgramFiles%\Messenger.exe
      * %ProgramFiles%\microsoft frontpage.exe
      * %ProgramFiles%\microsoft frontpage\version3.0.exe
      * %ProgramFiles%\Movie Maker.exe
      * %ProgramFiles%\Movie Maker\MUI.exe
      * %ProgramFiles%\Movie Maker\Shared.exe
      * %ProgramFiles%\NetMeeting.exe
      * %ProgramFiles%\Online Services.exe
      * %ProgramFiles%\Outlook Express.exe
      * %ProgramFiles%\Uninstall Information.exe
      * %ProgramFiles%\Windows Media Player.exe
      * %ProgramFiles%\Windows Media Player\Icons.exe
      * %ProgramFiles%\Windows Media Player\Sample Playlists.exe
      * %ProgramFiles%\Windows Media Player\Skins.exe
      * %ProgramFiles%\Windows Media Player\Visualizations.exe
      * %ProgramFiles%\Windows NT.exe
      * %ProgramFiles%\Windows NT\Accessories.exe
      * %ProgramFiles%\Windows NT\Pinball.exe
      * %ProgramFiles%\WindowsUpdate.exe
      * %ProgramFiles%\xerox.exe
      * %ProgramFiles%\xerox\nwwia.exe
      * %System%\1025.exe
      * %System%\1028.exe
      * %System%\1031.exe
      * %System%\1033.exe
      * %System%\1037.exe
      * %System%\1041.exe
      * %System%\1042.exe
      * %System%\1054.exe
      * %System%\2052.exe
      * %System%\3076.exe
      * %System%\3com_dmi.exe
      * %System%\[NOMBRE DE FICHERO DE LA AMENAZA ORIGINAL].exe
      * %System%\appmgmt.exe
      * %System%\CatRoot.exe
      * %System%\CatRoot2.exe
      * %System%\Com.exe
      * %System%\config.exe
      * %System%\config\systemprofile\Start Menu\Programs\Startup\[NOMBRE DE FICHERO DE LA AMENAZA ORIGINAL].exe
      * %System%\dhcp.exe
      * %System%\DirectX.exe
      * %System%\dllcache.exe
      * %System%\drivers.exe
      * %System%\export.exe
      * %System%\ias.exe
      * %System%\icsxml.exe
      * %System%\IME.exe
      * %System%\inetsrv.exe
      * %System%\Macromed.exe
      * %System%\Microsoft.exe
      * %System%\mui.exe
      * %System%\npp.exe
      * %System%\NtmsData.exe
      * %System%\oobe.exe
      * %System%\ras.exe
      * %System%\ReinstallBackups.exe
      * %System%\Restore.exe
      * %System%\ShellExt.exe
      * %System%\spool.exe
      * %System%\usmt.exe
      * %System%\wbem.exe
      * %System%\wins.exe
      * %System%\xircom.exe
      * %SystemDrive%\Config.Msi.exe
      * %SystemDrive%\Documents and Settings.exe
      * %SystemDrive%\Documents and Settings\Administrator.exe
      * %SystemDrive%\Documents and Settings\Administrator\Application Data.exe
      * %SystemDrive%\Documents and Settings\Administrator\Cookies.exe
      * %SystemDrive%\Documents and Settings\Administrator\Desktop.exe
      * %SystemDrive%\Documents and Settings\Administrator\Favorites.exe
      * %SystemDrive%\Documents and Settings\Administrator\Local Settings.exe
      * %SystemDrive%\Documents and Settings\Administrator\My Documents.exe
      * %SystemDrive%\Documents and Settings\Administrator\NetHood.exe
      * %SystemDrive%\Documents and Settings\Administrator\PrintHood.exe
      * %SystemDrive%\Documents and Settings\Administrator\Recent.exe
      * %SystemDrive%\Documents and Settings\Administrator\SendTo.exe
      * %SystemDrive%\Documents and Settings\Administrator\Start Menu.exe
      * %SystemDrive%\Documents and Settings\Administrator\Templates.exe
      * %SystemDrive%\Documents and Settings\All Users.exe
      * %SystemDrive%\Documents and Settings\All Users\Application Data.exe
      * %SystemDrive%\Documents and Settings\All Users\Desktop.exe
      * %SystemDrive%\Documents and Settings\All Users\Desktop\My Documents.exe
      * %SystemDrive%\Documents and Settings\All Users\Documents.exe
      * %SystemDrive%\Documents and Settings\All Users\DRM.exe
      * %SystemDrive%\Documents and Settings\All Users\Favorites.exe
      * %SystemDrive%\Documents and Settings\All Users\Start Menu.exe
      * %SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Startup\[NOMBRE DE FICHERO DE LA AMENAZA ORIGINAL].exe
      * %SystemDrive%\Documents and Settings\All Users\Templates.exe
      * %SystemDrive%\Documents and Settings\Default User.exe
      * %SystemDrive%\Documents and Settings\Default User\Application Data.exe
      * %SystemDrive%\Documents and Settings\Default User\Cookies.exe
      * %SystemDrive%\Documents and Settings\Default User\Desktop.exe
      * %SystemDrive%\Documents and Settings\Default User\Favorites.exe
      * %SystemDrive%\Documents and Settings\Default User\Local Settings.exe
      * %SystemDrive%\Documents and Settings\Default User\My Documents.exe
      * %SystemDrive%\Documents and Settings\Default User\NetHood.exe
      * %SystemDrive%\Documents and Settings\Default User\PrintHood.exe
      * %SystemDrive%\Documents and Settings\Default User\Recent.exe
      * %SystemDrive%\Documents and Settings\Default User\SendTo.exe
      * %SystemDrive%\Documents and Settings\Default User\Start Menu.exe
      * %SystemDrive%\Documents and Settings\Default User\Templates.exe
      * %SystemDrive%\Documents and Settings\LocalService.exe
      * %SystemDrive%\Documents and Settings\LocalService\Application Data.exe
      * %SystemDrive%\Documents and Settings\LocalService\Cookies.exe
      * %SystemDrive%\Documents and Settings\LocalService\Local Settings.exe
      * %SystemDrive%\Documents and Settings\NetworkService.exe
      * %SystemDrive%\Documents and Settings\NetworkService\Application Data.exe
      * %SystemDrive%\Documents and Settings\NetworkService\Cookies.exe
      * %SystemDrive%\Documents and Settings\NetworkService\Local Settings.exe
      * %SystemDrive%\Documents and Settings\VirusMaster.exe
      * %SystemDrive%\Program Files.exe
      * %SystemDrive%\RECYCLER.exe
      * %SystemDrive%\RECYCLER\[SID].exe
      * %SystemDrive%\System Volume Information.exe
      * %SystemDrive%\temp.exe
      * %SystemDrive%\WINDOWS.exe
      * %SystemDrive%\autorun.inf
      * %UserProfile%\Application Data.exe
      * %UserProfile%\Cookies.exe
      * %UserProfile%\Desktop.exe
      * %UserProfile%\Favorites.exe
      * %UserProfile%\Local Settings.exe
      * %UserProfile%\My Documents.exe
      * %UserProfile%\NetHood.exe
      * %UserProfile%\PrintHood.exe
      * %UserProfile%\Recent.exe
      * %UserProfile%\SendTo.exe
      * %UserProfile%\Start Menu.exe
      * %UserProfile%\Templates.exe
      * %Windir%\[NOMBRE DE FICHERO DE LA AMENAZA ORIGINAL].exe
      * %Windir%\AppPatch.exe
      * %Windir%\Config.exe
      * %Windir%\Config\[NOMBRE DE FICHERO DE LA AMENAZA ORIGINAL].exe
      * %Windir%\Config\ADMIN.exe
      * %Windir%\Connection Wizard.exe
      * %Windir%\Cursors.exe
      * %Windir%\Fonts.exe
      * %Windir%\Help.exe
      * %Windir%\Help\Tours.exe
      * %Windir%\Installer.exe
      * %Windir%\java.exe
      * %Windir%\java\classes.exe
      * %Windir%\java\trustlib.exe
      * %Windir%\Media.exe
      * %Windir%\Minidump.exe
      * %Windir%\msagent.exe
      * %Windir%\msagent\chars.exe
      * %Windir%\msagent\intl.exe
      * %Windir%\msapps.exe
      * %Windir%\msapps\msinfo.exe
      * %Windir%\Offline Web Pages.exe
      * %Windir%\Prefetch.exe
      * %Windir%\Provisioning.exe
      * %Windir%\Provisioning\Schemas.exe
      * %Windir%\Registration.exe
      * %Windir%\Registration\CRMLog.exe
      * %Windir%\Resources.exe
      * %Windir%\Resources\Themes.exe
      * %Windir%\system.exe
      * %Windir%\system32.exe
      * %Windir%\Tasks.exe
      * %Windir%\Temp.exe
      * %Windir%\Web.exe
      * %Windir%\Web\ADMIN.exe
      * %Windir%\Web\printers.exe
      * %Windir%\Web\Wallpaper.exe
      * %Windir%\WinSxS.exe
      * %Windir%\WinSxS\InstallTemp.exe
      * %Windir%\WinSxS\Manifests.exe
      * %Windir%\WinSxS\Policies.exe
      * %Windir%\Tasks\02.job
      * %Windir%\Tasks\03.job
      * %Temp%\~DF48C2.tmp

      Nota: %ProgramFiles% es una variable que hace referencia al directorio de Archivos de programa.
      Por defecto es C:\Archivos de programa\ (Windows98/Me/2000/XP). También puede ser C:\Program Files (Windows NT) y en instalaciones de Windows en inglés.
      %System% es una variable que hace referencia al directorio del sistema de Windows.
      Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
      %SystemDrive% es una variable que hace referencia a la unidad en la que Windows está instalado.
      Por defecto es C:.
      %UserProfile% es una varible que representa la carpeta de trabajo del usuario autenticado en el sistema Windows.
      Por defecto es C:\Documents and Settings\%user name%\ (Windows 2000, XP, y Server 2003).
      %Windir% es una variable que hace referencia al directorio de intalación de Windows.
      Por defecto es C:\Windows (Windows 95/98/Me/XP/Server 2003) o C:\Winnt (Windows NT\2000).
      %Temp% es una variable que representa la carpeta temporal de Windows.
      Por defecto es C:\Windows\temp (Windows 95/98/Me/XP) o C:\Winnt\temp (Windows NT/2000).

      Crea a continuación las siguientes entradas del registro de Windows:

      Código:
      Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\  
      Valor: "[NOMBRE DE FICHERO DE LA AMENAZA ORIGINAL].exe" = "%System%\
      [NOMBRE DE FICHERO DE LA AMENAZA ORIGINAL].exe"
      
      Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\  
      Valor: "[NOMBRE DE FICHERO DE LA AMENAZA ORIGINAL].exe" = "%Windir%\
      [NOMBRE DE FICHERO DE LA AMENAZA ORIGINAL].exe"
      
      Clave: HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices\  
      Valor: "#{8fc4ec46-5d05-11de-a71e-000bdb6eb35f}" = "[DATOS BINARIOS]"
      
      Clave: HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices\  
      Valor: "#{8fc4ec47-5d05-11de-a71e-000bdb6eb35f}" = "[DATOS BINARIOS]"
      
      Clave: HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices\  
      Valor: "#{8fc4ec48-5d05-11de-a71e-000bdb6eb35f}" = "[DATOS BINARIOS]"
      
      Clave: HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\A
      
      Clave: HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\B
      
      Clave: HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\E
      
      Clave: HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\S
      
      Clave: HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin\Aliases\Members\S-1-5-21-329068152-
      343818398-1801674531\000003F1
      
      Clave: HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin\Aliases\Members\S-1-5-21-329068152-
      343818398-1801674531\000003F2
      
      Clave: HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin\Aliases\Members\S-1-5-21-329068152-
      343818398-1801674531\000003F3
      
      Clave: HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin\Aliases\Members\S-1-5-21-329068152-
      343818398-1801674531\000003F4
      
      Clave: HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\  
      Valor: "F" = "[DATOS BINARIOS]"
      
      Clave: HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Groups\00000201\  
      Valor: "C" = "[DATOS BINARIOS]"
      
      Clave: HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin\  
      Valor: "F" = "[DATOS BINARIOS]"
      
      Clave: HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin\Aliases\00000221\  
      Valor: "C" = "[DATOS BINARIOS]"
      
      Clave: HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users
      
      Clave: HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin\Aliases\Members\S-1-5-21-329068152-
      343818398-1801674531
      
      Elimina también las siguientes entradas del registro de Windows para inhabilitar el acceso a las unidades "C:", "D:" y "E:":
      
      Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CD Burning\
      Drives\Volume{8f22faf6-bfd9-11da-8b64-806d6172696f}\  
      Valor: "Drive Type" = "3"
      
      Clave: HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices\  
      Valor: "\DosDevices\C:" = "[DATOS BINARIOS]"
      
      Clave: HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices\  
      Valor: "\DosDevices\D:" = "[DATOS BINARIOS]"
      
      Clave: HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices\  
      Valor: "\DosDevices\E:" = "[DATOS BINARIOS]"
      Troresba intenta añadir nuevas cuentas de usuario e intenta ganar privilegios para añadirse a sí mismo como administrador de sistema.

      Troresba se propaga a todas las unidades extraíbles y unidades de red compartidas que encuentra en el sistema comprometido copiando los siguientes ficheros:

      * %Drive%\[NOMBRE DE FICHERO DE LA AMENAZA ORIGINAL].exe
      * %Drive%\autorun.inf

      Nota: %Drive% es una variable que hace referencia a la unidad física, mapeable o extraíble en la que se crea el fichero (H:/ , S:/, etc).

      Fuente: Alerta-Antivirus.es: Detalles del virus Troresba
      Última edición por Herrante fecha: 21/06/09 a las 15:19:16
      Un autentico héroe es aquel que ayuda a los demás sin esperar nada a cambio


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.