Download virus w32/bugbear

ALERTA ANTIVIRUS
Edición Nº 76
09 de Octubre, 2002
www.inei.gob.pe
CONTENIDO
INFORM ACION DE VIRUS INFORM ATICOS
El Instituto Nacional de Estadística e
Virus W32/Bugbear
Virus Rodok
Virus W32/Opaserv
Virus W32/Opaserv.D
Informática
presenta
en
esta
oportunidad
LA
ALERTA
ANTIVIRUS Nro. 76, en esta alerta
damos a conocer la información de los
nuevos virus:
W32/Bugbear, Rodok,
W32/Opaserv,
W32/Opaserv.D y
W32/Veedna@Mm
Las grandes compañías desarrolladoras
de antivirus ya han actualizado sus
definiciones para detectar estos nuevos
virus. A continuación se presenta
información detallada respecto a éste
virus.
Virus W32/Veedna@Mm
VIRUS W32/BUGBEAR
Caracte rís ticas
El virus infecta a programas antivirus y firewalls con la intención de dejar
la computadora sin protección frente a otros virus y ataques.
Alias : Win32.BugBear.A@mm, Tanatos, Worm/Tanatos,
W32/BugBear@mm, W32.Bugbear@mm, W32/Bugbear-A,
W32/Bugbear.worm, Win32.Bugbear y Worm/Tanatos
M é to do s de Infe cció n
El virus W32/Bugbear se propaga a través del correo electrónico con las
siguientes características:
Asunto: (el nombre es variable)
Archivo Adjunto: Archivos extensión: *.exe, .pif o .scr.
Fuentes:
Per Systems
Panda Software
Unisva España S.A.
SegurInfo
Central Command News
The Hacker
Efe cto s de Infe cció n
Al difundirse a través de recursos compartidos en red, el virus
W32/Bugbear puede saturar impresoras mediante la impresión de
su código binario.
Adicionalmente, este código malicioso aprovecha una conocida
vulnerabilidad del navegador Microsoft Internet Explorer, para
autoejecutarse simplemente con la vista previa del mensaje de
correo en el que llega incluido.
Asimismo, utiliza el puerto de comunicaciones 36794 para realizar
conexiones remotas.
Procesos que busca en el sistema infectado e intenta eliminar:
ZONEALARM.EXE
VSHWIN32.EXE
VET95.EXE
TBSCAN.EXE
SERV95.EXE
SCAN32.EXE
RAV7.EXE
PAVW.EXE
OUTPOST.EXE
MPFTRAY.EXE
F- A G N T 9 5 . E X E
ICSUPPNT.EXE
ICLOAD95.EXE
IAMAPP.EXE
FINDVIRU.EXE
AVWIN95.EXE
AVPDOS32.EXE
AVKSERV.EXE
APVXDWIN.EXE
WFINDV32.EXE
VSECOMR.EXE
TDS2-NT.EXE
S W E E P 9 5.EXE
SCRSCAN.EXE
SAFEWEB.EXE
PERSFW.EXE
PAVSCHED.EXE
NVC95.EXE
MOOLIVE.EXE
JEDI.EXE
ICSUPP95.EXE
IBMAVSP.EXE
FRW.EXE
F- S T O P W . E X E
AVPUPD.EXE
AVPCC.EXE
AVGCTRL.EXE
ACKWIN32.EXE
WEBSCANX.EXE
VSCAN40.EXE
TDS2-98.EXE
SPHINX.EXE
SCANPM.EXE
RESCUE.EXE
PCFWALLICON.EXE
LOCKDOWN2000.EXE
NUPGRADE.EXE
LUALL.EXE
IOMON98.EXE
ICMON.EXE
IBMASN.EXE
FPROT.EXE
F- P R O T 9 5 . E X E
AVSCHED32.EXE
AVP32.EXE
AUTODOWN.EXE
A N T I -TROJAN.EXE
PAVCL.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE
AVWUPD32.EXE
AVPTC32.EXE
AVP.EXE
AVE32.EXE
_AVPM.EXE
VSSTAT.EXE
VETTRAY.EXE
TCA.EXE
SMC.EXE
SCAN95.EXE
RAV7WIN.EXE
PCCWIN98.EXE
PADMIN.EXE
NORMIST.EXE
LOOKOUT.EXE
IFACE.EXE
I C L O A DN T . E X E
IAMSERV.EXE
FP - WIN.EXE
F- P R O T . E X E
AVPM.EXE
AVNT.EXE
AVCONSOL.EXE
_AVPCC.EXE
Visite el Portal del Estado Peruano :
http ://www.perugobierno.gob.pe
VIRUS RODOK
VIRUS W32/OPASERV.D
Caracte rís ticas
Caracte rís ticas
Se propaga a través de la aplicación de
mensajería
instantánea
y
chat
MSN
Messenger.
Gran capacidad para distribuirse a través
de redes, al tiempo que intentan
conectarse a una página web para
actualizar algunos de sus componentes.
M é to do s de Infe cció n
El mensaje en el que se envía el virus
Rodok engaña al usuario para que
descargue
un
programa
desde
una
dirección web que, en realidad, contiene al
citado código malicioso.
Efe cto s de Infe cció n
Si el arc hivo es ejecutado aparece
una ventana que simula ser una
aplicación para obtener claves de
registro ilegales.
Intenta descargar desde Internet dos
archivos, que graba en el directorio
raíz del disco duro del equipo con los
nombres
update35784.exe
y
hehe2397824.exe.
Estos
archivos
contienen un troyano -denominado
Bck/Brat- permite a un usuario
malicioso controlar, de forma remota
la máquina afectada.
Efe cto s de Infe cció n
Crean en el directorio de Windows, el
archivo "SCRSVR.EXE", que contiene
el código de infección.
El virus W32/Opaserv.D genera -en el
directorio raíz del disco duro al que
afectael
archivo
TMP.INI,
e
introduce en el archivo WIN.INI una
instrucción para activarse.
VIRUS W32/VEEDNA@M M
Caracte rís ticas
VIRUS W32/OPASERV
Se propaga entre los usuarios que
comparten la red Kazzaa y a través de su
propio servidor SMTP (Send Mail Transfer
Protocol). El virus está comprimido con el
utilitario
UPX
(Ultimate
Packer
for
eXecutables) para dificultar su detección y
posterior eliminación por parte de los
Antivirus: http://upx.sourceforge.net
Caracte rís ticas
Alias : W32/Vandeedo@mm y
Gran capacidad para distribuirse a través
de redes, al tiempo que intentan
conectarse a una página web para
actualizar algunos de sus componentes.
Alias : Worm/OpaServ y
W32.Opaserv.worm
Efe cto s de Infe cció n
Crean en el directorio de Windows, el
archivo "SCRSVR.EXE", que contiene
el código de infección.
El
virus
W32/Opaserv
busca
direcciones IP de la red y alguna
aleatoria, al tiempo que realiza
llamadas al puerto 137. Si recibe
respuesta se transmite a través del
puerto
139
copiándose
en
el
directorio C:\Windows.
W32/Susmio@mm
M é to do s de Infe cció n
El virus llega en un mensaje de correo con
un archivo anexado de 15 KB de extensión,
de nombre aleatorio, elegido de una lista
contenida en su código viral. No tiene
Asunto ni Contenido y tiene efectos
destructivos.
Efe cto s de Infe cció n
Cuando
el
archivo
infectado
es
ejecutado el virus se auto-copia a las
siguientes
carpetas,
con
sus
respectivos nombres, incluyendo a la
unidad A:
C :\Z E P H Y R S O N G . M P 3 . E X E
C :\R E I G N O F I R E . M P 3 . E X E
C :\T H E T U X E D O . M P E G . E X E
C :\R E I G N O F F I R E . M P E G . E X E
C :\HOW TO MAKE VIRUSES.TXT.EXE
A :\T H E I N C R E D I B L E H U L K . E X E
C :\S E T U P . E X E . E X E
C :\F I R E . M P 3 . E X E
C :\H U L K . M P G . E X E
C :\H U L K . M P E G . E X E
C :\PENTIUM 5.DOC.EXE
C :\P E N T I U M 5 . R T F . E X E
C :\PLAYBOY 9.MPEG.EXE
Cada vez que se ejecute un archivo
.EXE, .COM, .PIF, .HTA o .BAT el virus
se activa.
Intenta conectarse al sitio web:
http://www.playboy.com
Muestra en la pantalla este mensaje de
texto:
El virus tiene un payload destructivo,
se encarga de saturar servidores de
correo, redes LAN, estaciones de
trabajo y PC domésticas, infecta
archivos con extensiones: IDX, NCH,
MBX, DBX, MSG, EML, TXT y HTM
dejándolos inoperativos.
??Se adjunta una lista de páginas web donde el usuario puede actualizar el antivirus:
Per Antivirus
http://www.persystems.net/
Sophos Antivirus
http://www.us.sophos.com/downloads/ide/
Norton Antivirus (NAV)
http://www.sarc.com/avcenter/download.html
Zap Antivirus
http://www.zapantivirus.com
Panda Antivirus
http://www.pandasoftware.es/
ESafe
http://www.esafe.com/download/virusig.html
InoculateIT
http://support.cai.com/Download/virussig.html
F-Prot
http://www.commandcom.com/html/files.html
McAfee VirusScan
http://download.mcafee.com/updates/updates.asp
AVAST y AVAST32
http://www.antivir.com/support.htm
Thunder Byte AntiVirus (TBAV)
http://www.shark.nl/uk/downloaduk2.html
Dr. Solomon's AVTK
http://www.drsolomon.com/download/index.cfm
The Hacker
http://www.hacksoft.com.pe/
AVG
http://www.grisoft.com/html/us_updt.cfm
Antiviral Toolkit Pro (AVP)
http://www.kaspersky.ru
Pc-Cillin
http://www.antivirus.com/download/pattern.htm
IBM Antivirus
http://www.symantec.com/avcenter/ibm/index.ht
ml
Unisva España S.A. ( BitDefender)
http://www.bitdefender-es.com
Si de s e a re cibir nue s tro bole tín informativo s us cribas e a nue s tro corre o
CCISI@ine i.gob.pe
Elabo rado po r: Dire cció n Té cnica de De s arro llo Info rmático