Guía orientativa de códigos peligrososJunio 2002 |
Julio 2002 Mayo 2002 |
|
|
|
| - Liquid.Trojan [ Peligrosidad 1 - Mínima ] | |
| Descripción: Liquid.Trojan llega en forma de fichero MP3 ejecutable con el nombre Liquid Burn.exe. AL ser ejecutado colocará ficheros de texto en los directorios raíz c:\ y \Archivos de Programa, después riniciará la máquina. |
|
| - XM.ZePast.A [ Peligrosidad 1 - Mínima ] | |
| Descripción: XM.ZePast.A es un simple virus de macro para Ms Excel 95 que solamente se replicará si el programa Excel está instalado en el directorio C:\Msoffice\Excel. |
|
| - Win32.Worm.Benjamin.B [ Peligrosidad 1 - Mínima ] | |
| Descripción: Se tarta de una nueva versión del gusano Win32.Worm.Benjamin.A , desarrollado para la red de intercambio de ficheros KaZaa. La version B no se disfraza bajo ficheros con nombre de canciones o videos, pero utiliza nombres de ficheros ubicados en la carpeta compartida del programa KaZaa. Como la versión A, el gusano está escrito en Borland Delphi. |
|
| - BAT.Eversaw.B@mm [ Peligrosidad 1 - Mínima ] | |
| Descripción: Se trata de un gusano de script que intenta distribuirse usando MS outlook, kazaa, mIRC y pIRCh. Si llega por correo, lo hace con asunto "who controls you?", mensaje "Stop your soul being controled! Get illuminated." y adjunto "Bat.soulcontrol.bat". Se copia a C: y A: como "Bat.soulcontrol.bat" y añade C: a las carpetas compartidas con kazaa. Borra ficheros relativos a antivirus, irc, etc. El gusano también intenta modificar los ficheros de configuración de mIRC y pIRCh para enviarse a sí mismo cuando el PC infectado se conecta a canales de mIRC o de pIRCh. |
|
| - W32.Supova.B.Worm [ Peligrosidad 2 - Baja ] | |
| Descripción: Este gusano se propaga exclusivamente a través de carpetas compartidas con kazaa. Intenta borrar todos los ficheros en las carpetas windows, system, y system32. Se oculta a sí mismo bajo el nombre de un fichero de algún software popular. Intenta realizar un ataque de denegación de servicio sobre los sitios "www.islamicity.com", "www.christianity.com", y "www.beliefnet.com". |
|
| - Backdoor.Ducktoy [ Peligrosidad 1 - Mínima ] | |
| Descripción: Se trata de un troyano, y por tanto posibilita el acceso no autorizado al PC infectado. |
|
| - W32.Secet.Worm [ Peligrosidad 1 - Mínima ] | |
| Descripción: Es un virus de muy bajo riesgo, sin efectos destructivos. Llega en un correo con adjunto "secret.com" y asunto "...". Si se ejecuta el fichero adjunto, el gusano se propaga a todos los contactos de la libreta de direcciones. |
|
| - Win32.Wconn [ Peligrosidad 1 - Mínima ] | |
| Descripción: Este gusano llega en un correo de las siguientes características: asunto "Free porn site passwords!", mensaje "Have this file installed in your system.Enter porno sytes and a password will be given 2 you at instant! Always select ok of installer." y fichero adjunto "SetupFP.exe". Borra el fichero "autoexec.bat" y se envía a todos los contactos de la libreta de direcciones. |
|
| - W32.Kitro.E.Worm [ Peligrosidad 2 - Baja ] | |
| Descripción: W32.Kitro.E.Worm es un gusano que se propaga tanto por e-mail como a través de las carpetas compartidas con kazaa. Si llega en correo, éste puede estar escrito en español (hay siete diferentes correos). Borra software antivirus y se copia a cuantos ficheros puede de la carpeta c:\. |
|
| - VBS_LEOLE.A [ Peligrosidad 1 - Mínima ] | |
| Descripción: Este código de Visual Basic, es un enviador masivo de correo electrónico que no posee efectos destructivos. El correo electrónico asociado a este código malicioso, lo envía mediante Microsoft Outlook a todas las direcciones incluidas en la libreta de contactos de Windows, y tiene el siguiente formato: Asunto: Leelo y reenvialo a quienes aprecias. Fichero Anexo: Cristo_Nos_Enseña.Doc.pif |
|
| - VBS_LUBUS.A [ Peligrosidad 2 - Baja ] | |
| Descripción: VBS_LUBUS.A es un gusano de envío masivo de correo que utiliza para su propagación la libreta de direcciones de Microsoft Outlook. El mensaje enviado tiene el siguiente formato: Asunto: ANGEL1. Fichero Anexo: ANGEL1.PPT.vbs Este gusano tiene además, capacidad para eliminar ficheros con determinadas extensiones. |
|
| - W32/Calil-A [ Peligrosidad 1 - Mínima ] | |
| Descripción: W32/Calil-A es un gusano de email que utiliza Microsoft Outlook para enviarse en un mensaje con las siguientes características: Asunto: FW: FW: LILAC project video attached Mensaje: Things that the govt. dont want you to know Archivo adjunto: LILAC_WHAT_A_WONDERFULNAME.avi.exe. |
|
| - W97M.Zacry.A@mm [ Peligrosidad 2 - Baja ] | |
| Descripción: W97M.Zacry.A@mm es un virus de macro que se expande infectando la plantilla Normal.dot de MS Word. También intenta replicarse a si mismo a través de la libreta de direcciones de MS Outlook, mediante un mensaje con las siguientes características: Asunto: Send to me Adjunto:Un documento Word Infectado con el virus W97M.Zacry.A@mm |
|
| X97M/Diablo [ Peligrosidad 1 - Mínima ] | |
| Descripción: Se trata de un virus de macro Excel 97. En fechas aleatorias el virus hace que los tamaños de la barra de herramientas sean más grandes. |
|
| - X97M.Hail.A [ Peligrosidad 1 - Mínima ] | |
| Descripción: X97M.Hail.A es un virus de macro que infecta libros de trabajo mas recientemente abiertos con Microsoft Excel. |
|
| - W32.IRCBot [ Peligrosidad 1 - Mínima ] | |
| Descripción: Este troyano tiene capacidades de puerta trasera que permitirán al hacker tomar el control de forma remota de la máquina infectada utilizando el (IRC) Internet Relay Chat. También podrá descargar y ejecutar ficheros a elección del propio hacker. |
|
| - W32.Datom.Worm [ Peligrosidad 2 - Baja ] | |
| Descripción: W32.Datom.Worm es un gusano que unicamente se propaga por los discos compartido. No posee carga destructiva. |
|
| - Win32.Fosforo.A/B [ Peligrosidad 1 - Mínima ] | |
| Descripción: Se trata de un virus clásico que infecta ficheros PE (portable executable), esto es, los ejecutables normales de Windows. Utiliza varias ténicas para dificultar su detección |
|
| - Banan.Trojan [ Peligrosidad 1 - Mínima ] | |
| Descripción: Banan. Troyano es " un bombardero de correo electrónico " que envía el correo electrónico a una dirección electrónica particular. La dirección electrónica esta fuertemente cifrada dentro del Troyano. Este archivo no tiene ningún propósito útil y debería ser suprimido. |
|
| - W32.Frethem.J@mm [ Peligrosidad 1 - Mínima ] | |
| Descripción: W32.Frethem.J@mm es una variacion de W32.Frethem.B@mm. Usa su propio motor SMTP para enviarse a si mismo a todas las entradas detectadas en la libreta de direcciones de Windows y el ficheros de los tipos .dbx, .wab, .mbx, .eml, and .mdb. |
|
| - W32.Nuker.Winskill [ Peligrosidad 1 - Mínima ] | |
| Descripción: W32.Nuker.Winskill es una herramienta utilizada por hackers para intentar bloquear otros sistemas gracias a vulnerabilidades de TCP/IP. |
|
| Banan.Trojan [ Peligrosidad 1 - Mínima ] | |
| Descripción: Banan. Troyano es " un bombardero de correo electrónico " que envía el correo electrónico a una dirección electrónica particular. La dirección electrónica esta fuertemente cifrada dentro del Troyano. Este archivo no tiene ningún propósito útil y debería ser suprimido. |
|
| - WORM_REDERPS.A [ Peligrosidad 1 - Mínima ] | |
| Descripción: Este gusano hace multiples copias de si mismo en el directorio por defecto de aplicaciones peer to peer, como BearShare, KaZaA Media Desktops, MORPHeus, and eDonkey 2000, compartido por varios usuarios. Aunque no modifica los registros de entrada, es potencialmente destructivo porque puede sobreescribir ficheros tipo exe |
|
| - Backdoor.Theef [ Peligrosidad 1 - Mínima ] | |
| Descripción: Theef es un troyano de puerta trasera configurable que permite el acceso no autorizado al servidor infectado utilizando el cliente Theef. |
|
| - W32/Frethem.K [ Peligrosidad 2 - Baja ] | |
| Descripción: W32/Frethem.K es un gusano que se propaga rápidamente por correo electrónico mediante un mensaje fácil de reconocer, pues su asunto es: Re: Your password!. Además, en el mensaje se incluye el fichero decrypt-password.exe. De este modo, el autor del gusano intenta engañar al recepetor del mismo para que ejecute el fichero adjunto, pensando que contiene una contraseña con la que supuestamente podrá acceder a información de interés. La infección se produce con la simple visualización del mensaje a través de la Vista previa. Esto se debe a que W32/Frethem.K aprovecha una vulnerabilidad de Internet Explorer (versiones 5.01 y 5.5). Su objetivo es obtener información sobre las cuentas de correo electrónico y el servidor SMTP predeterminado que utilizará para enviarse. Estos datos los obtiene del Registro de Windows y de la base de datos de Outlook Express. W32/Frethem.K tiene un tamaño de 48640 Bytes y está comprimido con PE-Pack y UPX |
|
| - W32/Frethem-Fam [ Peligrosidad 1 - Mínima ] | |
| Descripción: W32/Frethem-Fam es una familia de gusanos de email. Hasta el momento, Sophos conoce la existencia de seis variantes de W32/Frethem aunque sólo una de ellas ha sido notificada en libertad. El mensaje en el que llega tiene las siguientes características: Asunto: Re: Your password! Mensaje: ATTENTION! You can access very important information by this password DO NOT SAVE password to disk use your mind now press cancel Archivos adjuntos: decrypt-password.exe, password.txt W32/Frethem se encuentra en el archivo EXE e intentará aprovecharse de un agujero de seguridad en Outlook para ejecutarse de forma automática. El archivo password.txt sólo contiene el texto: Your password is W8dqwq8q918213 |
|
| - W32/Kitro-D [ Peligrosidad 2 - Baja ] | |
| Descripción: W32/Kitro-D es un gusano de email. Se propaga a todos los contactos de la libreta del Outlook.Llega en un mensaje con alguna de las siguientes formas: Asunto: Te han enviado una postal Mensaje: Postales NetWork (c)1999-2002 Archivo adjunto: PostalDeAmistad.pif Asunto: Leelo y reenvialo a quienes aprecias. Mensaje: Si lo que expone este documento es lo que sientes, envialo a tus amigos, algun sueño se hara realidad. Archivo adjunto: Cristo_Nos_Enseña.Doc.pif Asunto: Listado de falsas alarmas Mensaje: Te envio la lista de falsas alarmas, para que no hagas casoa las mentiras, chao que estes bien Archivo adjunto: Listado.txt.by.Microsoft.com Asunto: This is a last hoax list Mensaje: I send the list of false alarms, so that you do not make case to the lies bye Archivo adjunto: List.txt.by.Microsoft.com Asunto: Para los amigos Mensaje: Facturas Aqui adjunto las Facturas que nos ha pedido, ruego que nos envie lo que dentro del documento se especifica, Saludos. Archivo adjunto: Facturas556.XLS.pif Asunto: Fw: Enviame tu foto Mensaje: bueno, aqui esta mi foto cuando estuve viviendo en los andes, disfruta el paisaje Archivo adjunto: EnLosAndes.pif Asunto: Es posible que nos roben la identidad Mensaje: lee el documento y veras que puede ser verdad, luego enviaselo a tus amigos para que no les suceda eso Archivo adjunto: YaNoPuedoSerYoMismo.DOC.pif Asunto: Messenger vulnerable Mensaje: si, ahora nos pueden espiar la cuenta, te envio el documento donde dice que es lo que se debe hacer para arreglarlo, arreglalo lo antes posible Archivo adjunto: ReparacionDeMessenger.DOC.pif Asunto: 77:Test de amor Mensaje: Hace el test de amor, calcula el puntaje y reenvialo a tus amigos, pero recuerda hacerlo con Copia Oculta para que no sepan nuestras direcciones Archivo adjunto: TestDeAmoryAmistad.DOC.pif |
|
| - PWS-AOLFake [ Peligrosidad 1 - Mínima ] | |
| Descripción: Este troyano muestra una pantalla (engañosa) para capturar el nombre de usuario y password de un usuario de AOL. Cuando el usuario pulsa "OK" los datos son enviados al autor del troyano. |
|
| - W32.Frethem.M@mm [ Peligrosidad 2 - Baja ] | |
| Descripción: W32.Frethem.M@mm es una variante más de la familia de gusanos "Frethem". Al igual que "Frethem.k", el gusano puede ejecutarse con la vista previa en el MS outlook. Trae su propio motor SMTP (de envío de correo) y se envía a sí mismo a todaslas direcciones del libro de direcciones de Microsoft y a las que encuentra en los fichero .dbx .wab .mbx, .eml y .mdb. El correo en el que llega tiene por asunto "Re: Your password! y ficheros adjuntos "Decrypt-password.exe" y "Password.txt". El gusano no tiene efectos destructivos, salvo los de enviarse masivamente por correo. Attachments: Decrypt-password.exe and Password.txt |
|
| - WORM_SECET.A [ Peligrosidad 1 - Mínima ] | |
| Descripción: Es un gusano que se propaga masivamente utilizando el libro de direcciones de Outlook. Lleva un fichero adjunto llamado SECRET.COM |
|
| - W32.HLLW.Ultimax [ Peligrosidad 1 - Mínima ] | |
| Descripción: Este gusano se propaga a través de carpetas compartidas. Afecta a sistemas windows 98, NT, 2000, Me y XP (no a Win 95 ni Unix o Linux). |
|
| - W32.Frethem.O@mm [ Peligrosidad 2 - Baja ] | |
| Descripción: Se trata de una variante más de la familia de virus "Frethem", muy semejante al "Frethem.k" (que se ha propagado masivamente en los últimos días). Como Frethem.k, es capaz de autoejecutarse con la vista previa de MS Outlook (caso de que el navegador Internet Explorer no esté parcheado). No tiene efectos destructivos (salvo enviarse masivamente por correo) pero se propaga muy fácilmente. El asunto del correo en que llega es "Re: Your password!" y viene con dos ficheros adjuntos: "Decrypt-password.exe" y "Password.txt". |
|
| - W32/Holar@MM [ Peligrosidad 2 - Baja ] | |
| Descripción: Este gusano es capaz de propagarse por correo electrónico, MSN Messenger y carpetas compartidas en red. Llega como fichero adjunto con extensión .PIF y con nombre elegido de entre los documentos de la carpeta "Mis documentos" del sistema infectado. El asunto del mensaje es el mismo que el del fichero adjunto, pero sin extensión. Es capaz de autoejecutarse en sistemas con MS Internet Explorer 5.01 y 5.5 no parcheados. No tiene efectos destructivos. |
|
| - W97M.Saver.G [ Peligrosidad 1 - Mínima ] | |
| Descripción: Es un virus de Macro que infecta documentos y plantillas de Microsoft Word. Crea una copia del documento infectado con el nombre "CopAnti.dll". |
|
| - WORM_BUXTE.A [ Peligrosidad 2 - Baja ] | |
| Descripción: WORM_BUXTE.A, es un gusano residente en memoria que en su ejecución introduce algunos ficheros en el sistema infectado. Su propagación la realiza mediante el envío de un correo electrónico con una copia de sí mismo como anexo. Los destinatarios de este mensaje son todas las direcciones incluidas en la libreta de contactos del sistema infectado. El correo electrónico asociado a este gusano tiene el siguiente formato: De: Buxtehude Asunto: Something about… Fichero Anexo: SETUPW32.EXE |
|
| - WORM_URICK.A [ Peligrosidad 1 - Mínima ] | |
| Descripción: Este gusano de envío masivo de correo envía copias de sí mismo como adjunto a un correo electrónico a todas las entradas de la libreta de direcciones de Microsoft Outlook. Llega en un correo con el asunto "A Windows Trick" (Un truco de Windows). Si se ejecuta, este gusano desactiva el botón "Inicio" en sistemas corriendo Windows XP, 2000 o NT 4.0 |
|
| - WM97/Pri-AE [ Peligrosidad 1 - Mínima ] | |
| Descripción: WM97/Pri-AE es un virus de macro para Word 97 que intentará utilizar Microsoft Outlook para enviar copias del documento actual a todas las direcciones almacenadas en el libro de direcciones en un email con las siguientes características: Asunto: Message From <usuario> Mensaje: This document is very Important and you've GOT to read this !!! |
|
| - Winshell [ Peligrosidad 2 - Baja ] | |
| Descripción: Es una herramienta de intrusión, que permite a un atacante el control remoto del sistema donde se instale. Basta con que el atacante realice un 'telnet' al puerto preconfigurado del sistema infectado para que se presente el menu de la aplicación de intrusión (hacking). |
|
| - Word97Macro/Assilem.M [ Peligrosidad 1 - Mínima ] | |
| Descripción: Assilem.M es un virus de macro que infecta documentos y plantillas de Word97 y 2000. Sus efectos, sin llegar a ser destructivos, pueden resultar bastante molestos. |
|
| - WORM_MANYMIZE.A [ Peligrosidad 2 - Baja ] | |
| Descripción: Llega en una correo electrónico (en inglés), con asunto y cuerpo del mensaje variables y con fichero adjunto uno de los siguientes: "mi2.exe", "mi2.chm", "mi2.htm" o "mi2.wmv". No tiene efectos destructivos, salvo el envío masivo de correos infectados a todos los contactos de la libreta de direcciones del MS Outlook. Tiene capacidad de autoejecutarse en la vista previa (para sistemas con MS Internet Explorer 5.01 y 5.5 no parcheados). |
|
| - Trojan.Beway [ Peligrosidad 1 - Mínima ] | |
| Descripción: Trojan.Beway es un troyano cuyo objetivo es el de detener procesos de otros programas en ejecución y descargar una copia de un código 'puerta trasera' para permitir el acceso ilegítimo al sistema. |
|
| - WORM_FRETHEM.Q [ Peligrosidad 1 - Mínima ] | |
| Descripción: Un nuevo miembro de la familia FRETHEM, manda mensajes de correo electrónico consigo mismo como adjunto, a todos las entradas de la libreta de direcciones de Windows (WAB). El correo tiene un asunto aleatorio. Puede comportarse como un programa de puerta trasera. |
|
| - WNT/Ladex.worm [ Peligrosidad 1 - Mínima ] | |
| Descripción: Es un gusano que se propaga mediante unidades compartidas de red dentro de una subred local. Requiere WindowsNT/2000/XP para funcionar correctamente. El componente principal del gusano se propaga escribiendose a sí mismo en la ruta "Admin$\System32\lmhsvc.exe" de los sistemas remotamente accesibles. |
|
| - W97M.Twopey.C [ Peligrosidad 1 - Mínima ] | |
| Descripción: Es un virus de macro que infecta documentos y plantillas de Microsoft Word. Las propiedades de los archivos infectados quedan configurados de la siguiente manera: Autor: OPEY A." 'GREETINGS TO ALL FILIPINO PROGRAMMERS !!! Titulo: OpeY 2k1 version - Philippines |
|
| - W32.Chir.B@mm [ Peligrosidad 2 - Baja ] | |
| Descripción: Es un gusano de envío masivo de correo con capacidad para infectar ficheros. Utiliza su propio motor SMTP para enviarse a todas las direcciones de correo que encuentre en la libreta de contactos de Windows (.wab), y en los ficheros de extensiones: .adc, r.db, .doc, y .xls. El correo electrónico al que esta asociado tiene el siguiente formato: De: <nombre_del_usuario>@yahoo.com o imissyou@btamail.net.cn Asunto: <nombre_del_usuario> is coming! Fichero Anexo: PP.exe Este gusano también busca en todas las unidades tanto locales como de red, e infecta ficheros con extensiones .htm, .html, .exe, y .scr. |
|
| - VBS_NIEBER.A [ Peligrosidad 1 - Mínima ] | |
| Descripción: Es un gusano de envío masivo de correo que llega asociado a un mensaje con el Asunto: "Attention virus" Cambia la página de inicio de Internet Explorer (IE) del sistema infectado, y sobreescribe los ficheros de extensiones .VBE y .VBS con copias de sí mismo. |
|
| - WORM_FRETHEM.P [ Peligrosidad 1 - Mínima ] | |
| Descripción: Es un gusano que se propaga vía correo electrónico, que pertenece a la familia WORM_FRETHEM. El Asunto, Cuerpo, Destinatarios y Ficheros Anexos del correo asociado, dependen de la información descargada por el gusano de un sitio de Internet. Posee capacidades de puerta trasera y esto podría comprometer la seguridad del sistema. |
|
| - IRC.Mizi.Worm [ Peligrosidad 1 - Mínima ] | |
| Descripción: Se trata de un gusano de IRC (Internet Relay Chat) que se propaga usando mIRC para enviar mensajes a personas que se unen a un canal al que está conectado el ordenador infectado. El gusano intenta persuadir a los que reciben el mensaje para que se bajen una copia de sí mismo de un sitio web. |
|
| - W32/Supova.worm [ Peligrosidad 1 - Mínima ] | |
| Descripción: Este gusano esta diseñado para propagarse a través del sistema de compartición de ficheros de KaZaa y a través de MSN Messenger. Intenta atraer usuarios KaZaa mostrando mensajes de descarga de programas e infectarlos en caso de ser descargados. |
|
| - W32.Evala.Worm [ Peligrosidad 2 - Baja ] | |
| Descripción: W32.Evala.Worm es un gusano troyano que permite al hacker tomar el control de la máquina infectada. Es capaz de propagarse a través de diferentes médios de compartición de ficheros, como KaZaA, Grokster y Morpheus. El troyano utilizará los puertos de servicio 69 y 70 para conexiones TCP. |
|
| - WORM_CARD.A [ Peligrosidad 1 - Mínima ] | |
| Descripción: Este gusano enviará mensajes de correo a los primeros 100 usuarios de la libreta de direcciones de Outlook. Antes de instalarse mostrará un mensaje que si es aceptado permitirá la instalación definitiva. Un ejemplo del mensaje enviado es el siguiente: A: user@domain.com Asunto: user – you should enjoy this funny greeting card. Cuerpo: user, This greeting card made my day I hope you enjoy it. http://bluefoxmedia.com/card/sample.htm |
|
| - Backdoor.Assasin [ Peligrosidad 1 - Mínima ] | |
| Descripción: Backdoor.Assasin es un troyano que permite acceso no autorizado al sistema infectado. Además, intenta matar los procesos de multiples aplicaciones, entre ellos, varios cortafuegos y programas antivirus. |
|
| - W32/Bajar-B [ Peligrosidad 3 - Media ] | |
| Descripción: Este peligroso gusano llega en un correo con asunto "Nuevo programa para bajar musica gratis" y cuerpo del mensaje "con este programa vas a poder bajar cualquier tipo de musica las mejores canciones". El fichero adjunto es de nombre variable. Se envía a sí mismo a todos los contactos de la libreta de direcciones y borra ficheros como rundll.exe o autoexec.bat |
|
| - WORM_GDIES.A [ Peligrosidad 1 - Mínima ] | |
| Descripción: Este gusano se propaga por la red de compartición de ficheros Kazaa y mediante correo electrónico usando Microsoft Outlook. Se reenvia como adjunto a un correo con estas características: Asunto: Windows update Cuerpo del mensaje: Install this Windows update (for all versions). adjunto: windows_update.txt.exe |
|
|
|
  |