Suele llegar como adjunto en correos electrónicos enviados de forma masiva(spam).
El mensaje electrónico tiene las siguientes características:
Remitente: [dirección falsa]
Asunto: uno de los siguientes
* 230 dead as storm batters Europe.
* A killer at 11, he's free at 21 and kill again!
* British Muslims Genocide
* Chinese missile shot down Russian aircraft
* Chinese missile shot down Russian satellite
* Chinese missile shot down USA aircraft
* Chinese missile shot down USA satellite
* Naked teens attack home director.
* Radical Muslim drinking enemies's blood.
* Russian missile shot down Chinese aircraft
* Russian missile shot down Chinese satellite
* Russian missile shot down USA aircraft
* Russian missile shot down USA satellite
* Saddam Hussein alive!
* Saddam Hussein safe and sound!
* U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel
Adjunto: uno de los siguientes archivos
* full clip.exe
* full story.exe
* full video.exe
* read more.exe
* video.exe
y muchos mas. . . .
por ejemplo en el primer video que es el de mueren 230 personas en europa por unas lluvias el virus se empieza a descargar en el momento mas inquietante del video en el momento en el que la gente no puede retirar la vista del video por que lo ven interesante etc. . .
jueves, 20 de diciembre de 2007
procesos que realiza el virus
Cuando Trojan.W32/Peacomm es ejecutado, realiza las siguientes acciones:
1. Deja en el sistema el fichero '%System%\wincom32.sys'.
Nota: %System% es una variable que hace referencia al directorio de sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
2. Utiliza el fichero '%System%\wincom32.sys' para registrar un nuevo driver del sistema con las siguientes caracteristicas:
Nombre mostrado: wincom32
Ruta binaria: %System%\wincom32.sys
3. Crea la siguiente subclave en el registro de Windows para instalar el nuevo servicio:
Subclave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32
4. Utiliza el driver instalado para buscar el proceso 'services.exe', para inyectar un módulo en él.
5. Deja el siguiente fichero de configuración inicial que contiene una lista cifrada de 'equipos colegas' inicial:
* %System%\peers.ini
6. Abre el puerto UDP 4000 y lo utiliza para establecer canales de comunicación cifrada con otros 'equipos colegas' y permanece en espera de recibir comunicación.
7. Busca otros 'equipos colegas' enviando paquetes UDP a través del puerto 4000.
8. Intercambia información con los 'equipos colegas' encontrados y actualiza su propia lista de colegas.
Estos 'equipos socios' podrían ser utilizados para recibir comandos y enviar instrucciones a un servidor central.
9. Podría descargar y ejecutar los siguientes ficheros:
* 217.107.217.187/[- eliminado -]/game0.exe - (es el troyano Trojan.W32/Abwiz.F).
* 81.177.3.169/[- eliminado -]/game1.exe - (es el gusano Worm.W32/Nuwar.M).
* 81.177.3.169/[- eliminado -]/game2.exe - (es el gusano Worm.W32/Nuwar.M).
* 81.177.3.169/[- eliminado -]/game4.exe - (es el gusano Worm.W32/Nuwar.M).
1. Deja en el sistema el fichero '%System%\wincom32.sys'.
Nota: %System% es una variable que hace referencia al directorio de sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
2. Utiliza el fichero '%System%\wincom32.sys' para registrar un nuevo driver del sistema con las siguientes caracteristicas:
Nombre mostrado: wincom32
Ruta binaria: %System%\wincom32.sys
3. Crea la siguiente subclave en el registro de Windows para instalar el nuevo servicio:
Subclave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32
4. Utiliza el driver instalado para buscar el proceso 'services.exe', para inyectar un módulo en él.
5. Deja el siguiente fichero de configuración inicial que contiene una lista cifrada de 'equipos colegas' inicial:
* %System%\peers.ini
6. Abre el puerto UDP 4000 y lo utiliza para establecer canales de comunicación cifrada con otros 'equipos colegas' y permanece en espera de recibir comunicación.
7. Busca otros 'equipos colegas' enviando paquetes UDP a través del puerto 4000.
8. Intercambia información con los 'equipos colegas' encontrados y actualiza su propia lista de colegas.
Estos 'equipos socios' podrían ser utilizados para recibir comandos y enviar instrucciones a un servidor central.
9. Podría descargar y ejecutar los siguientes ficheros:
* 217.107.217.187/[- eliminado -]/game0.exe - (es el troyano Trojan.W32/Abwiz.F).
* 81.177.3.169/[- eliminado -]/game1.exe - (es el gusano Worm.W32/Nuwar.M).
* 81.177.3.169/[- eliminado -]/game2.exe - (es el gusano Worm.W32/Nuwar.M).
* 81.177.3.169/[- eliminado -]/game4.exe - (es el gusano Worm.W32/Nuwar.M).
datos del virus
Nombre completo: Trojan.W32/Peacomm
Tipo: [Trojan] - Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 29347
Alias:Trojan.Peacomm (Symantec), Win32/Fuclip (ESET (NOD32)), Trojan/Agent.bet (Hacksoft), Win32/Pecoan Family (Computer Associates), Downloader-BAI.sys!M711 (McAfee), Trojan-Proxy.Win32.Lager.dp (Kaspersky (viruslist.com)), Win32/Luder.L (Computer Associates), Email-Worm.Win32.Zhelatin.a (Kaspersky (viruslist.com)), Small.DAM (F-Secure), Downloader-BAI!M711 (McAfee), Troj/Dorf-Fam (Sophos), Trj/Alanchum.NX (Panda Software), TROJ_SMALL.EDW (Trend Micro)
Tipo: [Trojan] - Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 29347
Alias:Trojan.Peacomm (Symantec), Win32/Fuclip (ESET (NOD32)), Trojan/Agent.bet (Hacksoft), Win32/Pecoan Family (Computer Associates), Downloader-BAI.sys!M711 (McAfee), Trojan-Proxy.Win32.Lager.dp (Kaspersky (viruslist.com)), Win32/Luder.L (Computer Associates), Email-Worm.Win32.Zhelatin.a (Kaspersky (viruslist.com)), Small.DAM (F-Secure), Downloader-BAI!M711 (McAfee), Troj/Dorf-Fam (Sophos), Trj/Alanchum.NX (Panda Software), TROJ_SMALL.EDW (Trend Micro)
martes, 18 de diciembre de 2007
El gusano Storm - cuando salio y sus estragos en el mundo
El equipo del Symantec Security Response ha aumentado el nivel de riesgo del Trojan.Peacomm (conocido también como Storm Worm) a la categoría 3, debido a la velocidad y al gran volumen con el que se está propagando a través de Internet
Este troyano, que se detectó por primera vez el 17 de enero de 2007, ha aumentado su nivel de peligrosidad después de registrarse un incremento continuado de nuevas versiones a lo largo del fin de semana, cuando el autor de este código malintencionado respondió ajustando sus tácticas para hacer frente a las mejoras en protección que las compañías especializadas en seguridad pusieron en marcha en un principio.
El Trojan.Peacomm es uno de los troyanos de distribución masiva que Symantec ha detectado con origen en Rusia últimamente, y que tienen como objetivo obtener beneficios económicos para su creador, mediante el empleo de los equipos infectados para enviar grandes cantidades de mensajes spam. La victima es embaucada, por técnicas de ingeniería social, para abrir un documento adjunto, que normalmente parece ser un clip de vídeo sobre un acontecimiento o una noticia recientes.
La última vez que el equipo del Symantec Security Response vio una amenaza con un ritmo tan rápido de expansión fue con el Sober.O en mayo de 2005. Esto demuestra que, a pesar de las variadas técnicas que pueden adoptar los creadores de virus y los hackers, la técnica más sencilla y antigua basada en la debilidad de los usuarios, aún sigue teniendo una gran importancia para la propagación de las amenazas a gran velocidad. Symantec Security Response advierte a los usuarios para que nunca abran documentos adjuntos en correos electrónicos no solicitados de este tipo.
El Trojan.Peacomm se está propagando a través de correos electrónicos que dicen contener un clip de vídeo con una variedad de asuntos, incluyendo «230 personas fallecen en los temporales que azotan Europa» o «Genocidio de Musulmanes Británicos». Cuando el usuario abre el adjunto, el ordenador queda infectado automáticamente con el troyano, que intentará conectarse a direcciones remotas para, en última instancia, comenzar a utilizar el equipo infectado para enviar grandes cantidades de mensajes spam. Los laboratorios de Symantec han llegado a detectar una media de 3.500 mensajes spam por minuto.
Este mensaje se dio el 17 de enero del 2007 por lo k no hace falta decir todo lo que a aumentado este extraordinario virus. . . os hablare de sus mejoras y modificaciones en los sigueintes apartados
Este troyano, que se detectó por primera vez el 17 de enero de 2007, ha aumentado su nivel de peligrosidad después de registrarse un incremento continuado de nuevas versiones a lo largo del fin de semana, cuando el autor de este código malintencionado respondió ajustando sus tácticas para hacer frente a las mejoras en protección que las compañías especializadas en seguridad pusieron en marcha en un principio.
El Trojan.Peacomm es uno de los troyanos de distribución masiva que Symantec ha detectado con origen en Rusia últimamente, y que tienen como objetivo obtener beneficios económicos para su creador, mediante el empleo de los equipos infectados para enviar grandes cantidades de mensajes spam. La victima es embaucada, por técnicas de ingeniería social, para abrir un documento adjunto, que normalmente parece ser un clip de vídeo sobre un acontecimiento o una noticia recientes.
La última vez que el equipo del Symantec Security Response vio una amenaza con un ritmo tan rápido de expansión fue con el Sober.O en mayo de 2005. Esto demuestra que, a pesar de las variadas técnicas que pueden adoptar los creadores de virus y los hackers, la técnica más sencilla y antigua basada en la debilidad de los usuarios, aún sigue teniendo una gran importancia para la propagación de las amenazas a gran velocidad. Symantec Security Response advierte a los usuarios para que nunca abran documentos adjuntos en correos electrónicos no solicitados de este tipo.
El Trojan.Peacomm se está propagando a través de correos electrónicos que dicen contener un clip de vídeo con una variedad de asuntos, incluyendo «230 personas fallecen en los temporales que azotan Europa» o «Genocidio de Musulmanes Británicos». Cuando el usuario abre el adjunto, el ordenador queda infectado automáticamente con el troyano, que intentará conectarse a direcciones remotas para, en última instancia, comenzar a utilizar el equipo infectado para enviar grandes cantidades de mensajes spam. Los laboratorios de Symantec han llegado a detectar una media de 3.500 mensajes spam por minuto.
Este mensaje se dio el 17 de enero del 2007 por lo k no hace falta decir todo lo que a aumentado este extraordinario virus. . . os hablare de sus mejoras y modificaciones en los sigueintes apartados
Suscribirse a:
Entradas (Atom)
