Guía orientativa de códigos peligrosos

Guía orientativa de códigos peligrosos Julio 2002	Agosto 2002 Junio 2002

- XM.Laroux.UB [ Peligrosidad 1 - Mínima ]
Descripción: XM.Laroux.UB es un virus de macro que se propaga vía Microsoft Excel en sus versiones 95, 97, 2000 and XP. Su único objetivo es la propagación.
- Backdoor.Mirab [ Peligrosidad 1 - Mínima ]
Descripción: Backdoor.Mirab permitirá al hacker tomar el control de forma remota de la máquina infectada. Está escrito en Borland Delphi y comprimido con la utilidad UPX. Usa por defecto el puerto de servicio 4912 para control directo de trasferencia de ficheros.
- WORM_GUBED.A [ Peligrosidad 1 - Mínima ]
Descripción: Gusano que se propaga via Outlook. Llega en un mensaje con las siguientes características: Asunto: Congratulations for your site cuerpo: Congratulations for your site This is a good tool to improve it. Best Regards. Adjunto: WebMakeFullInstall.exe
- WORM_SKREN.A [ Peligrosidad 1 - Mínima ]
Descripción: Gusano que se propaga Via Outlook enviando copias de si mismo a todos los usuarios encontrados en la libreta de direcciones de Windows. Llega en un correo con las siguientes características: asunto: “Check Out This Cool Screensaver” adjunto: “KellyOsbourne.com.gz."
- W97M_AYAM.A [ Peligrosidad 1 - Mínima ]
Descripción: Se trata de un Virus de macro de Word y de un gusano a la vez. Llega en un mensaje de correo electrónico con el adjunto "Maya.doc". No posee carga destructiva.
- WORM_FRETHEM.G [ Peligrosidad 1 - Mínima ]
Descripción: Este gusano residente en memoria no posee carga destructiva, y se limita a recoger direcciones de correo electrónico contenidas en el directorio de ficheros temporales de Internet del usuario infectado. Estas direcciones son enviadas a alguno de los sitios a los que el gusano esta programado para conectarse.
- W32.Chier@mm [ Peligrosidad 2 - Baja ]
Descripción: Es un gusano emisor de correo masivo, utiliza su propio motor SMTP para propagarse. Creará un fichero denominado "runouce.exe" en el directorio SYSTEM de WIndows que contiene el código del virus y que será enviado con el nombre p.exe a cada una de las direcciones contenidas en la libreta de direcciones de Windows.
- VBS_NEMITE.A [ Peligrosidad 1 - Mínima ]
Descripción: Este gusano, escrito en VBS, está embebido en un fichero HTML. Envía mensajes a todos los contactos de la libreta de direcciones de la forma: Asunto: HI Cuerpo del mensaje: KONO SYASHIN MITE NE !!!! Adjunto: Syashin3.vbs Modifica la página de inicio del Internet Explorer los días 3, 5 y 20 de cada mes.
- W32.Frethem.D@mm [ Peligrosidad 2 - Baja ]
Descripción: Variante del gusano W32.Frethem.B@mm. No tiene carga destructiva. Trae su propio motor SMTP (para enviarse a sí mismo vía e-mail a todos los contactos de la libreta de direcciones). Llega en correo con asunto "Re: Your password!", mensaje "ATTENTION! You can access very important information by this password DO NOT SAVE password to disk use your mind now press cancel" y fichero adjunto "decrypt-password.exe"
- VBS_JERM.A [ Peligrosidad 1 - Mínima ]
Descripción: Es un componente del BAT_JERM.A que incluye una rutina que posibilita su envío masivo por correo electrónico.
- IRC_JERM.A [ Peligrosidad 1 - Mínima ]
Descripción: Este código maligno es la transformación del fichero SCRIPT.INI en una máquina infectada con BAT_JERM.A, y contiene las instrucciones para que este virus se envíe automáticamente a todos los usuarios conectados al mismo canal IRC que el usuario infectado.
- BAT_JERM.A [ Peligrosidad 1 - Mínima ]
Descripción: Es un código maligno que llega asociado a un correo electrónico con el siguientre formato: Asunto: Upgrade to Windows XP Fichero Anexo: UpgradeToWindowsXP.bat.
- WORM_DOTOR.A [ Peligrosidad 2 - Baja ]
Descripción: Este gusano, enviador masivo de correos, llega en un adjunto (DOCTOR.EXE) de un mensaje de correo electrónico, en el que se dice que es un herramienta contra virus de macro.
- BAT_ERIS.A [ Peligrosidad 2 - Baja ]
Descripción: Gusano, emisor masivo de correo que se propaga a sí mismo utilizando Ms Outlook, a través de un mensaje con las siguientes características: Asunto: Hail Eris! Cuerpo: Hail Discordia! All Hail Discordia! Welcome to c0nfusion. Adjunto: bat.eris.bat Intentará borrar ficheros antivirus y de sistema, los días 23 de cada mes. Crea multiples carpetas en el directorio raíz.
- WORM_GLITCH.A [ Peligrosidad 1 - Mínima ]
Descripción: Este gusano llega en un correo electrónico. El fichero adjunto siempre es "invoice.xls.exe", pero tanto el asunto como el cuerpo del mensaje son variables (pero siempre en inglés). No tiene carga desctructiva, salvo la de enviarse a sí mismo a todos los contactos registrados en el MS Outlook.
- Backdoor.K0wbot.1.3B [ Peligrosidad 1 - Mínima ]
Descripción: Se trata de un nuevo gusano de Internet que utiliza el programa KaZaA para propagarse. Además el virus incluye un componente backdoor de IRC, que permite el control remoto al equipo infectado.
- BAT_EVERSAW.A [ Peligrosidad 1 - Mínima ]
Descripción: Gusano Batch que envía copias de si mismo a las entradas de la libreta de direcciones de Outlook con las siguientes caracteristicas: Asunto: "Ever saw an encrypted batch-worm? N0? then it's time!" Cuerpo: "Well, you don't have to execute the attachment (if you don't want to ;) ... hey, at least look at it! You can boast at your friends this evening at the strip: 'Hey comrades, today I saw an encrypted batch-worm!' ... Isn't that fascinating ?! " Adjunto: BAT.FUCK.BAT
- BAT.Beckow.B@mm [ Peligrosidad 2 - Baja ]
Descripción: BAT.Beckow.B@mm es un gusano que se envía a si mismo a todas las entradas existentes en la libreta de direcciones de WIndows. Se propaga vía IRC e intentará sobreescribir ficheros de los tipos .reg, .vbs, .bat, .ifk, .pif, and .lnk y borrar los ficheros utilizados por programas antivirus.
- W32.Sand.12300 [ Peligrosidad 1 - Mínima ]
Descripción: W32.Sand.12300 es un fichero 'infectador' de ficheros Win32 cuyas víctimas son archivos ejecutables de extensión .exe. En su ejecución, infectará un fichero del mismo directorio donde se encuentre el virus.
- Swporta.Trojan [ Peligrosidad 1 - Mínima ]
Descripción: Es un troyano que intenta modificar la página inicial por defecto del navegador.
- FreeBSD.Scalper.Worm [ Peligrosidad 1 - Mínima ]
Descripción: Este gusano utiliza una vulnerabilidad en los servidores Apache HTTP para propagarse. Por el momento, se conoce que trabaja sobre plataformas FreeBSD (Sistema Operativo avanzado para arquitecturas Intel ia32, DEC Alpha y PC-98).
- Troj/W32.KillProc [ Peligrosidad 1 - Mínima ]
Descripción: Troj/W32.KillProc es un troyano diseñado para finalizar ciertos procesos de Windows en caso de que estos se encuentren activos. Tiene un tamaño de 76288 Bytes.
- Backdoor.GSpot [ Peligrosidad 1 - Mínima ]
Descripción: Backdoor.GSpot es un troyano que permite acceso no autorizado al sistema infectado mediante el programa cliente GSpot.
- WordPro.Spenty [ Peligrosidad 1 - Mínima ]
Descripción: WordPro.Spenty es un virus de macro que en su ejecución, infecta los documentos de Lotus Word Pro que son creados o abiertos. Cambia el entorno de seguridad de los documentos infectados de modo que sólo permite la edición del fichero al autor del mismo, previa introducción de una contraseña. Esta contraseña es "720401". En versiones en chino de Word Pro puede tener efectos más dañinos.
- W32.MyPower.B@mm [ Peligrosidad 2 - Baja ]
Descripción: W32.MyPower.B@mm es un gusano emisor masivo de correos que enviará una copia de si mismo a todas las entradas encontradas en la libreta de direcciones de Windows. El asunto del mensaje se genera con uno de los textos de la siguiente lista: New, Patch for, Crack For, The Best microsoft, Borland, ZDnet Tucows, Windows, Program Animated, Protection, Saver, Fixed, Saving, Games, 3DFx Studio El nombre del fichero adjunto tambíen sera diferente en cada caso con 8 posibilidades aunque siempre terminará con la extensión .exe o .scr. Está escrito en Microsoft Visual Basic y comprimido con la utilidad PE-Pack.
- W32.Dotor.A@mm [ Peligrosidad 1 - Mínima ]
Descripción: W97M.Dotor.A@mm es un virus de macro que intentará deshabilitar la Macro de seguridad del programa Microsoft Word. Se expande al abrir documentos infectados.
- W32.HLLW.Kazmor [ Peligrosidad 1 - Mínima ]
Descripción: W32.HLLW.Kazmor es un gusano con capacidades de troyano que permitirá al atacante tomar el control de la máquina infectada. Se expande por la red local situandose en los discos de red compartidos. También puede hacerlo a través de los ficheros compartidos de las redes KaZaA.
- VBS/Help.C [ Peligrosidad 2 - Baja ]
Descripción: Este se gusano se propaga a través del MS Outlook Express. Para ello se envía a sí mismo como diseño de fondo (documento HTML) de todos los correos que eníe el usuario. Puede infectar ficheros con extensiones HTM, ASP, VBS y HTT.
- Backdoor.Sazo [ Peligrosidad 1 - Mínima ]
Descripción: Backdoor.Sazo es un troyano que se conecta al sitio FTP del atacante (hacker) y descarga desde allí otros componentes o actualizaciones de este troyano. Hace uso del puerto 1218. Como acciones malignas, podría enviar información del sistema infectado al autor del virus y permitile un acceso no autorizado.
- VBS_CHU.A [ Peligrosidad 1 - Mínima ]
Descripción: Este gusano llega en correo eléctrónico con asunto "Upgrade MS Exchange" o "Update and upgrade MS Exchange". Se envía a sí mismo a todos los contactos de la libreta de direcciones y puede infectar documentos de MS Word.
- Backdoor.NetControle [ Peligrosidad 1 - Mínima ]
Descripción: Backdoor.NetControle es un troyano que permite al atacante controlar remotamente el sistema infectado. Se mantiene a la espera de conexión en el puerto TCP/UDP 1772.
- W32.Kwbot.Worm [ Peligrosidad 1 - Mínima ]
Descripción: W32.Kwbot.Worm es un gusano que además tiene capacidades de troyano, lo que permite a atacantes tener el control del sistema infectado. Este gusano puede actualizarse buscando en Internet nuevas versiones. Se oculta tras la apariencia de una pelicula famosa, un juego o ficheros de software, e intenta propagarse por la red mediante ficheros compartidos de KaZaA intentando que los usuarios descarguen y abran ese fichero.
- Win32.Metrion.37204 [ Peligrosidad 2 - Baja ]
Descripción: Win32.Metrion es un virus capaz de infectar programas de las versiones de Windows de 32 bits (95/98/2000/NT). Su carga destructiva le permite sobreescribir ficheros HTML, BAT y de extensiones .VBS y .CPP.
- WORM_YAHA.E [ Peligrosidad 1 - Mínima ]
Descripción: Este gusano llega como fichero con formato UPX adjunto a un correo electrónico. En su ejecución, deposita una copia de sí mismo en el directorio de la papelera de reciclaje con un nombre aleatorio de cuatro letras. Deja los atributos de esta copia como 'ocultos'. Envía un correo electrónico a las direcciones obtenidas de distintas fuentes de la máquina infectada (Libreta de contactos de Windows, lista de direcciones del MSN Messenger,la lista del Yahoo Pager, la del ICQ, y direcciones contenidas en ficheros de extensiones que contengan las letras ht.)
- BAT/Newo [ Peligrosidad 1 - Mínima ].
Descripción: BAT/Newo es un gusano cuya propagación se realiza por correo electrónico mediante un mensaje relativo al mundial de fútbol cuyo 'Asunto' es: "England Win WorldCup with Beckham." Realiza acciones destructivas en las máquinas que infecta , concretamente, introduce su código en los ficheros Autoexec.bat, win.ini y system.ini, lo cual provoca que el sistema operativo quede inestable.
- VBS.Krim.B [ Peligrosidad 1 - Mínima ]
Descripción: VBS.Krim.B es un gusano que se envía a sí mismo a todas las direcciones de correo electrónico incluidas en el Microsoft Outlook Address Book. El componente enviado no es capaz de enviar posteriores correos. En caso de ser ejecutado, intenta el formateo de la unidad C: El mensaje al que llega asociado tiene el siguiente formato: Asunto: SMS for YOU by Valentina Fichero Anexo: Mirko.bat
WORM_FRETHEM.I [ Peligrosidad 1 - Mínima ]
Descripción: Es un gusano sin carga destructiva y residente en memoria que se propaga mediante correo electrónico. Llega asociado a un mensaje con el siguiente formato: Subject: Re: Your password! Attachments: Your password placed in password.txt, yourpassword.exe y password.txt En sistemas con el Internet Explorer (IE) sin reparar con los parches adecuados, los anexos pueden ejecutarse cuando el mensaje es previsualizado o abierto con Microsoft Outlook y Outlook Express.
- PHP.Alf [ Peligrosidad 1 - Mínima ]
Descripción: PHP.Alf es un virus muy simple que infecta ficheros cuya extensión sea .php, .htm, o .html.
- Backdoor.Ultor [ Peligrosidad 1 - Mínima ]
Descripción: Backdoor.Ultor es un troyano que habilita una puerta trasera que permite acceso no autorizado al sistema infectado. Permanece a la escucha bien por el puerto 1111, bien por el 1234. Puede afecta a todos los sistemas que corran bajo cualquier versión de Windows.
- W32/Higuy-A [ Peligrosidad 1 - Mínima ]
Descripción: Se trata de un gusano de Internet con capacidades de puerta trasera. Se reenvía a todos las entradas de la libreta de direcciones de Windows, en correos con el texto en inglés o en italiano.
- VBS.Slip@mm [ Peligrosidad 1 - Mínima ]
Descripción: VBS.Slip@mm es un emisor masivo de correo que utiliza Microsoft Outlook para expandirse por todas las entradas de la libreta de direcciones.
- W97M.Nori.A [ Peligrosidad 2 - Baja ]
Descripción: W97M.Nori.A es un típico virus de macro de Word, que contiene una potencial carga destructiva muy elevada, infectando las palntillas de los documentos activos. Se activa el día 1 de abril de cada año, y BORRA todos los ficheros del disco duro y/o todo el texto de los documentos infectados.
- W97M.Locus [ Peligrosidad 1 - Mínima ]
Descripción: Este virus de macro infecta documentos de Microsoft Word y sus plantillas. No posee carga destructiva.
- W32/Perrun [ Peligrosidad 1 - Mínima ]
Descripción: W32.Perrun es un virus que infecta ficheros JPG. Su carga destructiva no se propaga a otras máquina. Los ficheros JPG ven incrementado su tamaño en 11 KB aproximandamente.
- Backdoor.Crat [ Peligrosidad 1 - Mínima ]
Descripción: Backdoor.Crat permitirá a un hacker tomar el control de la máquina infectada de forma remota. Está escrito en lenguaje Delphi y comprimido con la utilidad Ezip.
- BAT.WCup@mm [ Peligrosidad 2 - Baja ]
Descripción: Bat.WCup@mm es un fichero batch (Proceso por lotes) creado como emisor masivo de correo con intención de borrar numerosos ficheros del sistema y especialmente los programas antivirus instalados. Su ejecución puede afectar los procesos de inicio del sistema operativo.
- TROJ_WORTRON.10B [ Peligrosidad 2 - Baja ]
Descripción: Este troyano y generador de gusanos puede correr en cualquier plataforma Windows. Por sí mismo no tiene carga destructiva, sin embargo los gusanos que genera pueden ser destructivos, dependiendo de la configuración que establezca el hacker que lo controle.
- WORM_WORTRON.10B [ Peligrosidad 2 - Baja ]
Descripción: El troyano TROJ_WORTRON.10B genera este gusano, que se propaga mediante correo electrónico. Se copia a todos los recipientes listados en la libreta de direcciones de Windows. Puede atacar a programas de seguridad instalados en la máquina.
- W32.Frethem.E@mm [ Peligrosidad 2 - Baja ]
Descripción: W32.Frethem.E@mm es un gusano variante de W32.Frethem.B@mm, que utiliza su propio motor SMTP para enviarse a si mismo por todas las entradas existentes en la libreta de direcciones de Windows y también por las encontradas en los ficheros .dbx.
- VBS_PETIK.G [ Peligrosidad 1 - Mínima ]
Descripción: Emisor masivo de correo escrito en VIsual Basic Script. Tras la ejecución dejará una copia de si mismo de la carpeta raíz del disco c:\. El nombre del fichero será una combinación de ocho letras pero siempre con extensión .VBS.
- Backdoor.Tron [ Peligrosidad 1 - Mínima ]
Descripción: Backdoor.Tron es un troyano que permite acceso no autorizado al sistema infectado. Intenta eliminar los procesos de varias versiones de los cortafuegos ZoneAlarm y Tiny Personal (versión 2.0.15.0); lo que le permite la entrada al sistema sin ser detectado por esos cortafuegos.
- VBS/Chick.F [ Peligrosidad 1 - Mínima ]
Descripción: VBS/Chick.F es un gusano cuya propagación se lleva a cabo mediante correo electrónico y el chat (IRC). Mediante un asunto (RE: Korea Japan Results) y un cuerpo de mensaje relativos al mundial de fútbol 2002, pretende que el usuario ejecute el fichero anexo (Koreajapan.chm) para conocer los resultados de los partidos. Este gusano está compuesto por un fichero de HTML compilado con un tamaño de 12170 Bytes.
- BAT/Way [ Peligrosidad 2 - Baja ]
Descripción: Este gusano se propaga masivamente tanto a través del correo electrónico com del mIRC (chat). Si llega por correo, el asunto es "Which pub in Singapore is the best in the world?", el cuerpo del mensaje "Read me to find out!!!!" y el fichero adjunto "reame.TXT.vbs". Es capaz de eliminar el contenido de ficheros del sistema y de borrar ficheros de ciertos programas antivirus. Al finalizar sus acciones, BAT/Way muestra una ventana de MS-DOS con el siguiente texto: ChinaBlack rulez in Singapore!!!
- WORM_ZOEK.D [ Peligrosidad 1 - Mínima ]
Descripción: Es un correo que se puede descargar de un sitio web indicado dentro de un correo cuyo asunto es "Maxima Screensaver." El gusano toma las direcciones a las que propagarse de la libreta de contactos de Windows (WAB) y de archivos de Outlook (ficheros DBX). También instala un componente troyano.
- Backdoor.GRM [ Peligrosidad 1 - Mínima ]
Descripción: Backdoor.GRM es un troyano que permite acceso remoto no autorizado al sistema infectado. Espera la conexión por el puerto 7614, y se replica a sí mismo como \%System%\Grm.exe.
- Backdoor.Anakha [ Peligrosidad 1 - Mínima ]
Descripción: Backdoor.Anakha es un troyano que mediante el IRC (Internet Relay Chat), permite a un atacante acceder al sistema infectado. Tiene capacidad para abrir puertos TCP/UDP y permitir así al intruso tomar el control de la máquina atacada. Esta escrito con Microsoft Visual Basic y comprimido mediante ASPack.
- BAT.WCup.B@mm [ Peligrosidad 1 - Mínima ]
Descripción: BAT.WCup.B@mm es un gusano que intenta propagarse mediante Microsoft Outlook y mIRC. El formato del correo electrónico al que llega esociado es: Subject: Korean New Tactics To Defeat Germans Message: Tactics to win over the Germans! Attachment: germany_sucks.BAT Este correo debe ser eliminado antes de abrir ningún fichero anexo.
- W32.Bajar.Worm.Int [ Peligrosidad 1 - Mínima ]
Descripción: W32.Bajar.Worm.Int copia y ejecuta un fichero de extensión .vbs (Visual Basic), e intenta enviarse a todas las direcciones incluidas en la libreta de contactos de Microsoft Outlook, pero debido a un fallo de programación no llega a realizar diha acción.
- W32.Hokilo.irc [ Peligrosidad 1 - Mínima ]
Descripción: W32.Hokilo.irc es un gusano diseñado para propagarse mediante mIRC que puede llegar asociado a un fichero de nombre Worldcup.txt.shs. No lleva a cabo niguna acción dañina.
- Win32.Flagger [ Peligrosidad 1 - Mínima ]
Descripción: Es un virus polimórfico residente cuyo objetivo es la infección de ficheros PE EXE.
- WORM_MYPOWER.A [ Peligrosidad 1 - Mínima ]
Descripción: Es un gusano de envío masivo de correo con capacidad destructiva que llega asociado a un mensaje con asunto y cuerpo predefinidos dentro de un conjunto de opciones. El fichero anexo, generalmente lleva doble extensión .ZIP.SCR y el icono de ZIP. Se propaga mediante Microsoft Outlook, enviandose a sí mismo a todas las direcciones incluidas en la libreta de contactos del usuario infectado. Además, tiene capacidad para eliminar ficheros, mostrar gráficos y reproducir sonidos.
- Backdoor.Sparta [ Peligrosidad 1 - Mínima ]
Descripción: Backdoor.Sparta es un troyano que permite el acceso del hacker a la máquina infectada. Puede acabar eliminando importantes protecciones de seguridad y de los programas antivirus.