La actualidad - Mundo Digital

 

"Foto.zip", un nuevo troyano que se expande rápidamente
Desde la noche del pasado martes, miles de mensajes circulan por la red  anexando un fichero "zip" que responde al nombre de Foto.zip o Foto1.zip. Es un troyano que ya ha sido identificado con el nombre de Troj/Small.NAQ

 
 
Noticias relacionadas
 

 
Nombre  Troj/Small.NAQ
Nombre NOD32 (html)  Exploit/CodeBaseExec
Nombre NOD32 (exe)  Win32/TrojanDropper.Small.NAQ
Tipo  Caballo de Troya
Alias  Bagle.AK, Bagle.AV, Download.Ject.C, Download.Ject.D, Exploit.CodeBaseExec, Exploit/CodeBaseExec, HTML/ObjData@exp, HTML_BAGLE.AI, JS/IllWill, JScript/IE.VM.Exploit, Troj/BagleDl-A, TROJ_BAGLE.AI, Trojan.Dropper.Small-11, TrojanDownloader.Win32.Agent.cj, TrojanDropper.Win32.Small.kv, W32/Bagle.AV.worm, W32/Bagle.dll.dr, W32/Bagle.dll.gen, W32/Mitglieder.AA, Win32.Bagle.AI!downloader, Win32.Glieder.H, Win32/Bagle.Downloader.DLL.Trojan, Win32/Bagle.Downloader.Trojan, Win32/TrojanDropper.Small.NAQ, WORM_BAGLE.AI
Relacionados  Exploit/CodeBaseExec
Fecha  31/ago/04
Plataforma  Windows 32-bit
Tamaño  4,558 bytes (zip), 111 bytes (htm), 12,800 bytes (exe)
Fuente: http://www.vsantivirus.com/troj-small-naq.htm



Este troyano desactiva diversos antivirus y el cortafuegos de Windows XP. No posee capacidad de propagación, y solo ha sido detectado en un envío masivo por medio de spam y reportado en numerosos países el 31 de agosto de 2004.

Los mensajes pueden poseer las siguientes características (podrían existir otras variantes):

De: [dirección falsa]
Para: [dirección falsa]
CC: [varias direcciones]

Asunto: [variable]
Texto: [alguno de los siguientes]

[vacío]
foto

Datos adjuntos: [uno de los siguientes]

photo.zip
foto.zip
foto1.zip

El archivo ZIP contiene un archivo HTML (FOTO.HTM o FOTO.HTML), y una carpeta llamada "1" que contiene el archivo FOTO1.EXE o CALC.EXE.

El troyano utiliza una vulnerabilidad que afecta al Internet Explorer y al Outlook Express. Esta vulnerabilidad está corregida en el parche MS03-032 de Microsoft (Actualización acumulativa para IE y posteriores actualizaciones acumulativas).

En un equipo vulnerable, si el usuario visualiza el archivo HTML, se ejecuta automáticamente el contenido de la carpeta "1", o sea el archivo FOTO1.EXE o CALC.EXE, el cuál es el troyano propiamente dicho.

Cuando se ejecuta el troyano, se crean los siguientes archivos:

c:\windows\system32\doriot.exe
c:\windows\system32\gdqfw.exe

DORIOT.EXE es una copia del troyano, y GDQFW.EXE es el módulo de descarga.

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

El troyano crea también la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
wersds.exe = c:\windows\system32\doriot.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
wersds.exe = c:\windows\system32\doriot.exe

DORIOT.EXE inyecta un hilo en el proceso de EXPLORER.EXE para ejecutar su componente GDQFW.EXE (el troyano propiamente dicho), quedando de este modo activo en memoria, sin ser visible en la lista de procesos del Administrador de Tareas.

Al ejecutarse, intenta finalizar la ejecución de los siguientes procesos, correspondientes a determinados antivirus y cortafuegos:

atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avpupd.exe
avwupd32.exe
avxquar.exe
cfiaudit.exe
drwebupw.exe
escanh95.exe
escanhnt.exe
firewall.exe
icssuppnt.exe
icsupp95.exe
luall.exe
mcupdate.exe
nupgrade.exe
outpost.exe
update.exe
upgrader.exe

El troyano también intenta deshabilitar el servicio "SharedAccess", el cortafuegos de Windows XP ("Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) service").

También intenta descargar un archivo desde determinados sitios de Internet (llamado B.JPG al momento actual). Si lo logra, lo copia en la siguiente ubicación y con alguno de los siguientes nombres, y luego lo ejecuta:

c:\windows\file.exe
c:\windows\_re_file.exe

El troyano intentará descargar dicho archivo de cualquiera de los siguientes dominios:

allianzsp .sk
coolweb .psg .sk
cryofthespirit .com
dollypop .com
execpage .com
helpdemos .com
helpingyouth .org
jamesbronner .com
koti .pl
miracle .v6 .cz
mountainwings .com
mountainwings .com
mountainwings4 .com
naturalpros .com
oracal .pl
shock .evernet .com .pl
SportLine .go .ro
stroipolymer .ru
theonlineword .com
virtualchurch .com
visionforsouls .org
wingsoverlife .com
www .1800thewoman .com
www .1944 .pl
www .45partsdepot .com
www .7pe .friko .pl
www .air-computers .com .ar
www .ametist .spb .ru
www .apodis .pl
www .arrasy .pl
www .arthurspeaks .com
www .astermed .pl
www .atomique .pl
www .atw .hu
www .avatar .ee
www .avers .com .pl
www .baltexpo .spb .ru
www .bomart .cz
www .bravo .gliwice .pl
www .bronnerbros .com
www .buycare .com
www .cumparacd .go .ro
www .da-rom .co .il
www .domu .net
www .eastandard .co .ke
www .elblu .republika .pl
www .elcorsy .com
www .elite-style .com
www .enduser1 .fast .net
www .enitex .by
www .enitex-m .by
www .eris .pl
www .europharm .pl
www .extreme-racing .lg .ua
www .fotel .pl
www .fotolab .sk
www .frater .hu
www .gardameditech .com
www .gardameditech .com
www .generex .de
www .goldgates .com
www .goodboy .dem .ru
www .hards .pl
www .healthcometh .com
www .holz-studio .at
www .ibplus .sk
www .icpnet .pl
www .icpnet .pl
www .inlan .sk
www .jamesbronner .com
www .jamesbronner .com
www .jbplus .cz
www .justmatchit .com
www .justmatchit .com
www .kubtelecom .ru
www .kuda .com .ua
www .lacittadifiorenzuola .it
www .lotusdog .net
www .ltvo .spb .ru
www .master .pl
www .members .aon .at
www .moteplassen1 .com
www .mountainwings2 .com
www .multifoto .sk
www .nadodrze .pl
www .nairobiwebspace .com
www .nameitright .com
www .nardo .bbe .pl
www .netland .gda .pl
www .netta .pl
www .nikola .piwko .pl
www .ntrlab .com
www .nustep .sk
www .octava .pl
www .odevnictvo .sk
www .oftza .friko .pl
www .oktbroiler .ru
www .online40 .com
www .online50 .com
www .oto .lv
www .pancoopzsv .co .yu
www .pay5495 .com
www .pc-hard .com .ua
www .perfect-beauty .at
www .perfect-beauty .at
www .pharmag .pl
www .pharmag .pl
www .polsl .katowice .pl
www .prophetcollins .com
www .propi .cz
www .pursuit .rv .ua
www .pyrlandia-boogie .pl
www .quatro .sk
www .r-bazar .ru
www .roszkowski .pl
www .silvic .ro
www .sincron .go .ro
www .skylive .pl
www .smgkrc .pl
www .soulring .com
www .star-max .it
www .sunbud .com .pl
www .swez .net
www .system5electronics .com
www .tcvwebtv .com .ar
www .thewoman .com
www .tivis .cz
www .ukpl .pl
www .vacation-network .net
www .wyspian .iap .pl
www .zasada-rowery .pl

 


Enlaces relacionados
 
miércoles, 01 septiembre 2004

(c) Noticiasdot.com
Edita : Noticias Digitales SL


Noticiasdot.com

El diario independiente del mundo digital

Stilo

El canal de estilo de vida de Noticiasdot.com

Viajes

El canal de viajes de Noticiasdot.com

La Biblioteca del Conocimiento de Noticiasdot.com

Direcciones de correo electrónico: Redacción - Información - Anunciante en Noticiasdot.com: Publicidad - ¿Quienes somos?