|
Noticias
relacionadas |
|
|
|
Nombre |
Troj/Small.NAQ |
Nombre NOD32 (html) |
Exploit/CodeBaseExec |
Nombre NOD32 (exe) |
Win32/TrojanDropper.Small.NAQ |
Tipo |
Caballo de Troya |
Alias |
Bagle.AK, Bagle.AV, Download.Ject.C, Download.Ject.D,
Exploit.CodeBaseExec, Exploit/CodeBaseExec, HTML/ObjData@exp,
HTML_BAGLE.AI, JS/IllWill, JScript/IE.VM.Exploit, Troj/BagleDl-A,
TROJ_BAGLE.AI, Trojan.Dropper.Small-11, TrojanDownloader.Win32.Agent.cj,
TrojanDropper.Win32.Small.kv, W32/Bagle.AV.worm, W32/Bagle.dll.dr,
W32/Bagle.dll.gen, W32/Mitglieder.AA, Win32.Bagle.AI!downloader,
Win32.Glieder.H, Win32/Bagle.Downloader.DLL.Trojan, Win32/Bagle.Downloader.Trojan,
Win32/TrojanDropper.Small.NAQ, WORM_BAGLE.AI |
Relacionados |
Exploit/CodeBaseExec |
Fecha |
31/ago/04 |
Plataforma |
Windows 32-bit |
Tamaño |
4,558 bytes (zip), 111 bytes (htm), 12,800 bytes (exe) |
Fuente: http://www.vsantivirus.com/troj-small-naq.htm |
Este troyano desactiva diversos antivirus y el cortafuegos de Windows XP. No
posee capacidad de propagación, y solo ha sido detectado en un envío masivo por
medio de spam y reportado en numerosos países el 31 de agosto de 2004.
Los mensajes pueden poseer las siguientes características (podrían existir otras
variantes):
De: [dirección falsa]
Para: [dirección falsa]
CC: [varias direcciones]
Asunto: [variable]
Texto: [alguno de los siguientes]
[vacío]
foto
Datos adjuntos: [uno de los siguientes]
photo.zip
foto.zip
foto1.zip
El archivo ZIP contiene un archivo HTML (FOTO.HTM o FOTO.HTML), y una carpeta
llamada "1" que contiene el archivo FOTO1.EXE o CALC.EXE.
El troyano utiliza una vulnerabilidad que afecta al Internet Explorer y al
Outlook Express. Esta vulnerabilidad está corregida en el parche MS03-032 de
Microsoft (Actualización acumulativa para IE y posteriores actualizaciones
acumulativas).
En un equipo vulnerable, si el usuario visualiza el archivo HTML, se ejecuta
automáticamente el contenido de la carpeta "1", o sea el archivo FOTO1.EXE o
CALC.EXE, el cuál es el troyano propiamente dicho.
Cuando se ejecuta el troyano, se crean los siguientes archivos:
c:\windows\system32\doriot.exe
c:\windows\system32\gdqfw.exe
DORIOT.EXE es una copia del troyano, y GDQFW.EXE es el módulo de descarga.
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo
instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como
"c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y
ME).
El troyano crea también la siguiente entrada en el registro para autoejecutarse
en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
wersds.exe = c:\windows\system32\doriot.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
wersds.exe = c:\windows\system32\doriot.exe
DORIOT.EXE inyecta un hilo en el proceso de EXPLORER.EXE para ejecutar su
componente GDQFW.EXE (el troyano propiamente dicho), quedando de este modo
activo en memoria, sin ser visible en la lista de procesos del Administrador de
Tareas.
Al ejecutarse, intenta finalizar la ejecución de los siguientes procesos,
correspondientes a determinados antivirus y cortafuegos:
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avpupd.exe
avwupd32.exe
avxquar.exe
cfiaudit.exe
drwebupw.exe
escanh95.exe
escanhnt.exe
firewall.exe
icssuppnt.exe
icsupp95.exe
luall.exe
mcupdate.exe
nupgrade.exe
outpost.exe
update.exe
upgrader.exe
El troyano también intenta deshabilitar el servicio "SharedAccess", el
cortafuegos de Windows XP ("Internet Connection Firewall (ICF) / Internet
Connection Sharing (ICS) service").
También intenta descargar un archivo desde determinados sitios de Internet
(llamado B.JPG al momento actual). Si lo logra, lo copia en la siguiente
ubicación y con alguno de los siguientes nombres, y luego lo ejecuta:
c:\windows\file.exe
c:\windows\_re_file.exe
El troyano intentará descargar dicho archivo de cualquiera de los siguientes
dominios:
allianzsp .sk
coolweb .psg .sk
cryofthespirit .com
dollypop .com
execpage .com
helpdemos .com
helpingyouth .org
jamesbronner .com
koti .pl
miracle .v6 .cz
mountainwings .com
mountainwings .com
mountainwings4 .com
naturalpros .com
oracal .pl
shock .evernet .com .pl
SportLine .go .ro
stroipolymer .ru
theonlineword .com
virtualchurch .com
visionforsouls .org
wingsoverlife .com
www .1800thewoman .com
www .1944 .pl
www .45partsdepot .com
www .7pe .friko .pl
www .air-computers .com .ar
www .ametist .spb .ru
www .apodis .pl
www .arrasy .pl
www .arthurspeaks .com
www .astermed .pl
www .atomique .pl
www .atw .hu
www .avatar .ee
www .avers .com .pl
www .baltexpo .spb .ru
www .bomart .cz
www .bravo .gliwice .pl
www .bronnerbros .com
www .buycare .com
www .cumparacd .go .ro
www .da-rom .co .il
www .domu .net
www .eastandard .co .ke
www .elblu .republika .pl
www .elcorsy .com
www .elite-style .com
www .enduser1 .fast .net
www .enitex .by
www .enitex-m .by
www .eris .pl
www .europharm .pl
www .extreme-racing .lg .ua
www .fotel .pl
www .fotolab .sk
www .frater .hu
www .gardameditech .com
www .gardameditech .com
www .generex .de
www .goldgates .com
www .goodboy .dem .ru
www .hards .pl
www .healthcometh .com
www .holz-studio .at
www .ibplus .sk
www .icpnet .pl
www .icpnet .pl
www .inlan .sk
www .jamesbronner .com
www .jamesbronner .com
www .jbplus .cz
www .justmatchit .com
www .justmatchit .com
www .kubtelecom .ru
www .kuda .com .ua
www .lacittadifiorenzuola .it
www .lotusdog .net
www .ltvo .spb .ru
www .master .pl
www .members .aon .at
www .moteplassen1 .com
www .mountainwings2 .com
www .multifoto .sk
www .nadodrze .pl
www .nairobiwebspace .com
www .nameitright .com
www .nardo .bbe .pl
www .netland .gda .pl
www .netta .pl
www .nikola .piwko .pl
www .ntrlab .com
www .nustep .sk
www .octava .pl
www .odevnictvo .sk
www .oftza .friko .pl
www .oktbroiler .ru
www .online40 .com
www .online50 .com
www .oto .lv
www .pancoopzsv .co .yu
www .pay5495 .com
www .pc-hard .com .ua
www .perfect-beauty .at
www .perfect-beauty .at
www .pharmag .pl
www .pharmag .pl
www .polsl .katowice .pl
www .prophetcollins .com
www .propi .cz
www .pursuit .rv .ua
www .pyrlandia-boogie .pl
www .quatro .sk
www .r-bazar .ru
www .roszkowski .pl
www .silvic .ro
www .sincron .go .ro
www .skylive .pl
www .smgkrc .pl
www .soulring .com
www .star-max .it
www .sunbud .com .pl
www .swez .net
www .system5electronics .com
www .tcvwebtv .com .ar
www .thewoman .com
www .tivis .cz
www .ukpl .pl
www .vacation-network .net
www .wyspian .iap .pl
www .zasada-rowery .pl
|