Guía orientativa de códigos peligrososAgosto 2002 |
Julio 2002 Septiembre 2002 |
|
|
|
| - BAT_MIGRATE.A [ Peligrosidad 1 - Mínima ] | |
| Descripción: Este gusano puede llegar en un correo electrónico con las siguientes características: Asunto: A Greeting Card For You Mensaje: Coz you're special to me... :) Attachment: GREETING.CARD.BAT Adjunto: GREETING.CARD.BAT El gusano también puede propagarse por IRC y a través de los ficheros compartidos con kazaa. No tiene efectos desctructivos, salvo el envío masivo de correo vía MS Outlook. |
|
| - W97M.Maike [ Peligrosidad 1 - Mínima ] | |
| Descripción: Es un virus de macro para Word que cambia el nombre de usuario y organización de tal forma que estos se ven como: Maike, you are the most beautiful girl in the world. Infecta documentos a través de la plantilla Normal.dot. |
|
| - WORM_SURNOVA.C [ Peligrosidad 1 - Mínima ] | |
| Descripción: Se trata de una variante de WORM_SURNOVA.B. que se propaga a través de MSN Messenger y la aplicación Kazaa peer-to-peer (P2P), lo que permite la compartición de ficheros sobre la red. |
|
| - BAT_ETIMOLOD.A [ Peligrosidad 1 - Mínima ] | |
| Descripción: Este fichero batch deposita varias copias de si mismo en los siguientes directorios: ·C:\ ·C:\Windows\System ·C:\Windows\System32 ·C:\Windows\Start Menu Tratará de borrar ficheros de sistema críticos en la máquina infectada. |
|
| - W32.Assarm@mm [ Peligrosidad 1 - Mínima ] | |
| Descripción: W32.Assarm@mm es un emisor masivo que utiliza las direcciones de los mensajes no leidos de MS Outlook. El mensaje será enviado como respuesta y utilizará como asunto el del mensaje original, al que podrá añadir distintos ficheros adjuntos. |
|
| - Backdoor.Delf [ Peligrosidad 1 - Mínima ] | |
| Descripción: Backdoor.Delf es un Troyano de puerta trasera que proporcionará al hacker acceso a la máquina infectada. También podrá detener la ejecución de ciertos procesos de firewall y programas antivirus. Solamente funciona bajo Windows 2000, NT y XP. |
|
| - BAT_KRAZYB.A [ Peligrosidad 1 - Mínima ] | |
| Descripción: Este gusano es un fichero batch que se propaga a través de Ms Outlook y envía un mensaje con las siguientes características a todas las entradas de la libreta de Outlook: Asunto: Hi! Mensaje: Here's a great game for all ages.IT's called blackjackel.Have a nice day :) Adjunto:c:\KrAzY_BoI.bat El gusano también puede propagarse vía mIRC. y puede llegar a eliminar ciertos ficheros de sistema de programas antivirus. |
|
| - Troj/Unreal-A [ Peligrosidad 1 - Mínima ] | |
| Descripción: Se trata de un caballo de troya (troyano) que finge ser un 'crack' para Unreal Tournamten. Ojo con los programas descargados por redes de compartición de ficheros. |
|
| - FakeGina.Trojan [ Peligrosidad 1 - Mínima ] | |
| Descripción: FakeGina.Trojan es principalmente un ladrón de contraseñas, aunque también captura variada información personal y de configuración de los sistemas infectados. |
|
| - Trojan.Starfi [ Peligrosidad 1 - Mínima ] | |
| Descripción: Trojan.Starfi es un caballo de Troya escrito en Visual Basic, y diseñado para capturar las passwords y claves de acceso de los usuarios de MSN Messenger. |
|
| - Backdoor.Easyserv [ Peligrosidad 1 - Mínima ] | |
| Descripción: Troyano de puerta trasera que proporciona acceso limitado al atacante en el ordenador infectado. |
|
| - VBS_SEALUG.A [ Peligrosidad 1 - Mínima ] | |
| Descripción: Emisor Masivo creado en Visual Basic Script que se propaga vía Microsoft Outlook enviando correos con las siguientes características: Asunto: En SevdiginMessage Mensaje:Hayat yasandigi kadardir. Ötesi ya hatiralarda bir iz, ya da hayallerde bir umuttur. Hüsrani ise bir tek yerde kabul edebilirim: O da yasamaya olanak varken yasayamamis olmaktir. Adjunto: En_Sevdigin.vbs |
|
| - VBS_PICA.N [ Peligrosidad 1 - Mínima ] | |
| Descripción: Gusano emisor masivo de correos escrito en Visual Basic Script que se propaga vía Microsoft Outlook, mIRC, PIRCH, y a través de redes locales. Envía un mensaje a todas las entradas de la libreta de direcciones de Microsoft Outlook con las siguientes características: Asunto: “Here you have, ;o)” Mensaje: “Hi!” “Check this!” Adjunto: Sysboot.dll.vbs |
|
| - WORM_PROPEC.A [ Peligrosidad 1 - Mínima ] | |
| Descripción: Gusano que se propaga vía IRC cuya carga destructiva acaba corrompiendo el fichero WIN.COM, básico para el inicio de Windows. Los detalles del mensaje enviado son los siguientes: Asunto: I Finally Found it! Mensaje: Maby the prophecy will come true for you. Adjunto: prophecy.exe |
|
| - WORM_BIHUP.A [ Peligrosidad 1 - Mínima ] | |
| Descripción: Emisor masivo de correos que se propaga a todas las direcciones de los mensajes no leidos de la bandeja de entrada de Outlook Express. El asunto y cuerpo del mensaje están escritos en lenguaje Koreano y el fichero adjunto será uno de los siguientes: · Heddink.exe · Go Korea.exe · RedDevil.exe · WorldCup.exe · 2002.exe |
|
| - VBS.Horty.D [ Peligrosidad 1 - Mínima ] | |
| Descripción: Gusano de correo electrónico que se propaga usando Microsoft Outlook. Llega en un mensaje con el siguiente aspecto: Asunto: FREE PORN SITES Cuerpo: (Vacio) Adjunto: clickme.vbs. |
|
| - W32.Azak [ Peligrosidad 1 - Mínima ] | |
| Descripción: W32.Azak Es un caballo de troya que se copia a si mismo en todos los discos locales como arbol de ficheros cuyos nombres comienzan con "Kaaza." Este troyano no posee carga destructiva alguna. |
|
| - Backdoor.Fearic [ Peligrosidad 1 - Mínima ] | |
| Descripción: Backdoor.Fearic es un troyano escrito en Visual Basic y diseñado para que el hacker pueda utilizar el America Online Instant Messenger (AIM), o para abrir puertos TCP/UDP y tomar el control de la maquina infectada. |
|
| - Win32.Lama.A [ Peligrosidad 1 - Mínima ] | |
| Descripción: Es un gusano que pretendidamente se propaga mediante IRC, correo electrónico, y la red de compartación de ficheros Kazaa, pero tiene muchos fallos que hacen muy dificil que se propague. |
|
| - PWS-Ritter [ Peligrosidad 1 - Mínima ] | |
| Descripción: Se trata de un troyano ladrón de password diseñado para capturar la clave de accesso de los usuarios de Netware 3.11 . El nombre de fichero "LOGIN.EXE" es usado por el troyano como sustituto de LOGIN binario standard cuando hay una conexión al servidor Novell Netware. La fecha y hora de este troyano es el 19-10-1994 Pero puede ser facilmente alterada. |
|
| - VBS.Neiber.A@mm [ Peligrosidad 2 - Baja ] | |
| Descripción: VBS.Neiber.A@mm Es un emisor masivo de correo que se envia a todas las entradas de la libreta de direcciones de Microsoft Outlook. El asunto del correo en el que se propaga es : Attention virus No contiene ningún anexo, ya que el gusano está codificado dentro del mensaje html. Reescribirá todos los ficheros .vbs y .vbe para insertarse a si mismo e intentará bloquear el ordenador lanzando repetidas peticiones de inicio de Notepad. |
|
| - W97M/Opey.bd [ Peligrosidad 1 - Mínima ] | |
| Descripción: Es un virusde macro que infecta documentos Word 97. Basta con abrir un documento infectado para que se infecte el entorno Word. No tiene efectos destructivos, tan solo camiba el nombre de usuario de Word por "FRANCIS LIM", su dirección por "Linis-BBQHS-2000" y las iniciales por "BBQ-KY". Tambien deshabilita la opción de mostrar un aviso de Word cuando este ejecuta una macro. |
|
| - WORM_ENERKAZ.A [ Peligrosidad 1 - Mínima ] | |
| Descripción: Este gusano se propaga a través de los ficheros compartidos con la herramienta Kazaa. Su único efecto es que muestra una ventana con el mensaje: Information c)by Energy Germany |
|
| - XM97/Anis-D [ Peligrosidad 1 - Mínima ] | |
| Descripción: A diferencia de otros virus de macro para Excel, XM97/Anis-D no copia el archivo infectado en el directorio XLSTART. Este virus se copia directamente de un documento abierto a otro. |
|
| - VBS/Lubus.C [ Peligrosidad 1 - Mínima ] | |
| Descripción: VBS/Lubus.C es un gusano que llega al sistema que pretende infectar a través del correo electrónico. El mensaje que contiene este gusano es muy fácil de identificar ya que su asunto es siempre TH y el fichero que incluye tiene el nombre THWIN.VBS. Los efectos de este gusano consisten en borrar ficheros con determinadas extensiones, así como introducir en el sistema, y ejecutar, otro gusano de nombre VBS/Redlof.A. Cada vez que se ejecuta, VBS/Lubus.C borra cinco ficheros que escoge al azar entre los que se encuentran en el ordenador infectado y tienen como extensión una de las siguientes: XLS, DOC, WAV, DWG, MP3, BAK, WAV, BMP, HTM, HLP, CHM, JPG, GIF, SCR, TTF, MID, CDR, MDB, DBF y ICO |
|
| - Wyx.C [ Peligrosidad 1 - Mínima ] | |
| Descripción: Wyx.C (b) Es un virus polimórfico que infecta los sectores de boot de los discos fijos y removibles de la máquina infectada. No posee carga destructiva intencionada, pero puede acabar destruyendo las particiones FAT32 en el momento de la infección. |
|
| - Backdoor.Osirdoor [ Peligrosidad 1 - Mínima ] | |
| Descripción: Backdoor.Osirdoor es un troyano que permite al atacante tomar el control sobre la m´quina infectada. |
|
| - VBS.Natay [ Peligrosidad 1 - Mínima ] | |
| Descripción: VBS.Natay es un script en Visual Basic que utiliza Microsoft Outlook para enviar un fichero batch DOS. |
|
| - BAT.Natay@mm [ Peligrosidad 2 - Baja ] | |
| Descripción: BAT.Natay@mm es un fichero batch DOS que llega en un fichero adjunto a un mensaje de correo Microsoft Outlook. Cuando es ejecutado intentará borrar todos los ficheros antivirus y crear un script VBS para enviarse a si mismo. El correo tiene las siguientes características: Asunto: Happy National Day Singapore! Adjunto: NationalDay2002.bat |
|
| - Prophecy.Worm [ Peligrosidad 2 - Baja ] | |
| Descripción: Llega en un correo electrónico con asunto "I Finally Found it!", mensaje "Maby the prophecy will come true for you." y fichero adjunto "Prophecy.exe". Cuando se ejecuta este fichero, el gusano infecta el ordenador y se envía a sí mismo a todas las direcciones de la libreta de contactos de MS Outlook. Los días 1, 10 y 15 de cada mes muestra un mensaje en inglés. Y, en ciertas ocasiones, puede borrar ficheros cruciales del sistema. También es capaz de propagarse vía mIRC, sobreescribiendo el fichero Script.ini |
|
| - W32.Mortag [ Peligrosidad 1 - Mínima ] | |
| Descripción: W32.Mortag es un ladrón de passwords escrito en Visual Basic que se copia a si mismo en el sistema como MortalGame.html.exe. |
|
| - Trojan.Crabox [ Peligrosidad 1 - Mínima ] | |
| Descripción: Trojan.Crabox Es un troyano que intentará sobrecargar el sitio web play.mp3.com con multiples envíos de peticiones. El nombre del programa utilizado por el troyano es Crackerbox.exe. |
|
| - Backdoor.Delf.C [ Peligrosidad 1 - Mínima ] | |
| Descripción: Se trata de una variante de Backdoor.Delf.B que permitirá accesos no autorizados a las máquinas infectadas. Podrá detener procesos de software antivirus y firewall. Solamente afecta a sistema con Windows NT, 2000, y XP. |
|
| - W32.Golsys.14292 [ Peligrosidad 1 - Mínima ] | |
| Descripción: W32.Golsys.14292 es una variante de W32.Golsys.8020, que infecta ficheros ejecutables de 32-bit de los discos locales y los mapeados. |
|
| - Backdoor.Gholame [ Peligrosidad 1 - Mínima ] | |
| Descripción: Backdoor.Gholame Es un troyano que una vez instalado, abrirá dos puertos de servicio y permanecerá a la escucha para permitir al hacker tomar el control sobre la máquina infectada. |
|
| - Backdoor.Tela [ Peligrosidad 1 - Mínima ] | |
| Descripción: Este virus es del tipo "troyano" o "caballo de troya" y por tanto permite que el sistema infectado sea accesible para el hacker que creó este troyano. En concreto, hace posible tanto retirar información como ficheros del sistema infectado. |
|
| - W32.HLLW.Kazmor.C [ Peligrosidad 1 - Mínima ] | |
| Descripción: Es un gusano escrito en Borland Delphi, que se propaga mediante la red de ficheros compartidos de Morpheus. Se camufla en forma de película, juego, programa pornográfico o ficheros de software para engañar al usuario, y que este descargue y abra el fichero. |
|
| - W32.Golsys.8020 [ Peligrosidad 1 - Mínima ] | |
| Descripción: Es un virus escrito en lenguaje ensamblador. Crea el fichero %system%\Sysl0gon.exe, e intenta infectar todos los ficheros que encuentra. También tiene capacidad de infectar los ficheros de las unidades mapeadas de red. |
|
| - IIS.Beavuh-Exploit [ Peligrosidad 1 - Mínima ] | |
| Descripción: Es un troyano que permite acceso no autorizado al sistema objeto del ataque. Afecta a máquinas con IIS 5.0 (Internet Information Server) bajo Windows 2000. |
|
| - VBS_GODZILLA.A [ Peligrosidad 1 - Mínima ] | |
| Descripción: Este gusano de Visual Basic Script modifica la firma de los correos emitidos con Outlook Express, de modo que añade automáticamente como anexo el fichero con el código maligno a todos los correos electrónicos por el usuario infectado. |
|
| - W32.Hunch.E@mm [ Peligrosidad 3 - Media ] | |
| Descripción: Estes gusano llega en un correo electrónico, en castellano, con las siguientes características: Asunto: (en blanco) Mensaje: Mensaje importante para %nombre de quien envía el mensaje% en el archivo adjunto. Fichero adjunto: (es variable). El gusano es peligroso: una vez infecta un ordenador, a la siguiente vez que se arranca borra todo el disco duro. |
|
| - W32.Axatak [ Peligrosidad 1 - Mínima ] | |
| Descripción: Es un virus cuya misión es el robo de contraseñas y las almacena en el ficheroAxatak.is Seguidamente, envía este fichero al creador del virus. Además, permite el acceso no autorizado al sistema infectado por los puertos 8888 y 8889. |
|
| - Backdoor.Scanboot [ Peligrosidad 1 - Mínima ] | |
| Descripción: Es una 'puerta trasera', que habilita acceso no autorizado al sistema infectado. |
|
| - W32.Areq [ Peligrosidad 1 - Mínima ] | |
| Descripción: W32.Areq es un virus que se copia a sí mismo como: A:\Fotos.exe C:\Windows\_.exe Además, intentará realizar varias acciones al ejecutar A:\Fotos.exe dependiendo de la fecha del sistema. |
|
| - W97M.Creutze [ Peligrosidad 1 - Mínima ] | |
| Descripción: Es un virus de macro que infecta la plantilla Normal.dot en el momento de la apertura de un fichero infectos de Microsoft Word 97. Después de que Normal.dot sea infectada, los documentos se infectan al cerrarlos. |
|
| - W32.HLLP.Nedal [ Peligrosidad 1 - Mínima ] | |
| Descripción: Es un virus de Visual Basic que se copia a sí mismo en el directorio de Windows, e infecta todos los ficheros .exe en ese directorio insertando su código encima de los archivos infectados. |
|
| - Bneo.Trojan [ Peligrosidad 1 - Mínima ] | |
| Descripción: Es un grupo de troyanos creados específicamente para trabajar bajo el MSN Messenger. Algunas variantes podrían también abrir puertos para permitir a intrusos acceder al sistema infectado. |
|
| Backdoor.Y3KRat.15 [ Peligrosidad 2 - Baja ] | |
| Descripción: Es un troyano que permite a intrusos obtener el control de la máquina infectada. |
|
| - W32.HLLW.Relmony [ Peligrosidad 2 - Baja ] | |
| Descripción: W32.HLLW.Relmony es un virus escrito en Visual Basic que se propaga a través de la red de compartición de ficheros KaZaA. Tiene un tamaño de 28,672 bytes ya afecta únicamente a las plataformas Windows, siendo inócuo ante sistemas Unix, Linux y Macintosh. |
|
| - Backdoor.Expjan [ Peligrosidad 1 - Mínima ] | |
| Descripción: Backdoor.Expjan es un troyano que permitira el acceso no autorizado a la máquina infectada. Utiliza el mismo icono que internet explorer y dejará abierto el puerto 2090 para acceso. |
|
| - Backdoor.Miffice [ Peligrosidad 1 - Mínima ] | |
| Descripción: Backdoor.Miffice es un troyano que permitirá el acceso no autorizado a la máquina infectada. Esrá escrito en Delphi y comprimido con la utilidad UPX. Por defecto, abrirá el puerto 1533 para conexiones. |
|
| - W32/Backdoor.Apart [ Peligrosidad 2 - Baja ] | |
| Descripción: Este gusano de redes, posee capacidad de troyano de acceso remoto a las computadoras infectadas, y se propaga a través de recursos compartidos en redes y canales de IRC. Escrito en Delphi, es un ejecutable en formato PE (Portable Executable) de Windows 32 bits. Las diferentes versiones (A y B), varían principalmente en el tamaño del ejecutable (43 Kb y 56 Kb respectivamente), comprimidos con las utilidades TeLock o UPX. La versión 'B' ha estado circulando en canales de IRC como un nuevo protector de pantalla con la imagen de Britney Spears desnuda (NEW NUDE BRITNEY SPEARS SCREEN SAVER!). |
|
| - Troj/Grador [ Peligrosidad 1 - Mínima ] | |
| Descripción: Este troyano está programado en Visual Basic y requiere la presencia de las librerías MSVBVM50.DLL (Visual Basic Virtual Machine) y MSWINSCK.OCX (control ActiveX Microsoft Winsock Control DLL) para su funcionamiento. Tiene capacidad para enviar información crítica del sistema infectado a una dirección de correo electrónico, supuestamente perteneciente al creador del código malicioso. |
|
| - Backdoor.Cabro [ Peligrosidad 1 - Mínima ] | |
| Descripción: Este virus, del tipo puerta trasera ("backdoor" en inglés) es un programa servidor que, una vez instalado, extrae información del PC: nombre de usuario, organización y número de serie. El puerto que usa para enviar la información se configura en el momento de la infección. |
|
| - Trojan.Adnap [ Peligrosidad 1 - Mínima ] | |
| Descripción: Cuando se ejecuta este troya, usa el puerto 20480 para conectarse a una página web ubicada en www.geocities.com. |
|
| - Trojan.MSNTrick [ Peligrosidad 1 - Mínima ] | |
| Descripción: Este troyano sólo afecta a los usuarios de MSN Messenger. Cuando es ejecutado, intenta robar la identidad y clave para MSN Messenger y enviárselas al autor del troyano. Si aparece este troyano, se debe de cambiar la clave y la identidad lo más pronto posible. |
|
| - W97M.Lami [ Peligrosidad 1 - Mínima ] | |
| Descripción: Es un virus de macro que infecta documentos activos y la plantilla Normal.dot en Microsoft Word 97. El virus esta programado para intentar eliminar ficheros de extensiones .sys, .drv, .doc, .dll, y .dos que se encuentren en el mismo directorio que el virus, siempre que la fecha del sistema se encuentre entre el 28 de Diciembre y el 3 de Enero. |
|
| - VBS.Randa@mm [ Peligrosidad 1 - Mínima ] | |
| Descripción: Es un gusano que utiliza para propagarse Microsoft Outlook. Inserta su propio código dentro de los ficheros de Visual Basic del sistema infectado, e intenta realizar un ataque de denegación de servicio (DoS) contra www.kaspersky.com. Llega asociado a un correo con el siguiente formato: Asunto: Hola, mira esto que te mando, es algo curioso Fichero Anexo: Miradadesdeelcoño.jpg.vbs |
|
| - Backdoor.Robi [ Peligrosidad 1 - Mínima ] | |
| Descripción: Es una puerta trasera que permite acceso no autorizado al sistema infectado. Por defecto, abre el puerto 6969 para establecer la conexión. |
|
| - Apher [ Peligrosidad 1 - Mínima ] | |
| Descripción: Es un gusano que se propaga mediante un correo electrónico con el siguiente formato: De: <info@microsoft.com> Asunto: Protect Your NetWare with KasperskyTM Anti-Virus Fichero Anexo: AAPRICES.EXE Cuando el adjunto es ejecutado, el gusano descarga de un sitio web un virus de puerta trasera que permite acceso no autorizado a la máquina infectada. |
|
| - W32/Simbolos@MM [ Peligrosidad 1 - Mínima ] | |
| Descripción: Es un gusano, comprimido con la utilidad ASPack, que utiliza para propagarse la lista de contactos del MSN Messenger. El correo electrónico asociado a este código malicioso, tiene el siguiente formato: Asunto: Je,je,je Texto: rate de que el programa se llame 'Setup.exe' Fichero: SETUP.EXE (su icono es un disquete) Modifica además, el registro de Windows para ejecutarse con cada reinicio del sistema. |
|
| - W32.Vig.Worm [ Peligrosidad 1 - Mínima ] | |
| Descripción: Este gusano se copia a sí mismo al raíz de todas las unidades del disco duro (también aquellas que están en red) y borra el fichero "C:\windows\regedit.exe". Modifica el registro del sistema de tal forma que el gusano se ejecuta cada vez que se arranca el sistema. Los ficheros a los que se copia en los directorios raíz tienen siempre longitud de 24.604 bytes y nombres tales como: Viguito.exe, Pamela.exe, Juego.exe, Tetris.exe, etc... |
|
| - VBS_ROKOL.A [ Peligrosidad 1 - Mínima ] | |
| Descripción: Es un gusano escrito en Visual Basic Script, que se propaga en un mensaje con formato: Asunto: I feel sick today!!! Cuerpo: I am ORLOK. Afecta a sistemas que funcionen bajo Windows-32 bits. |
|
| - VBS_EDNAV.A [ Peligrosidad 2 - Baja ] | |
| Descripción: Este código de Visual Basic elimina ficheros localizados en el escritorio. Su propagación se realiza infectando ficheros VBS y enviando copias de sí mismo por correo electrónico mediante Microsoft Outlook. El correo electrónico asociado, tiene el siguiente formato: Asunto: "System Administrator Notification" Fichero Adjunto: %fichero VBS infectado% |
|
| - Cardst [ Peligrosidad 1 - Mínima ] | |
| Descripción: Es un troyano escrito en Java Script. Mediante ingeniería social, intenta hacer creer al usuario, que es un Centro de Pagos de AOL. Su contenido, incluye un formulario en el cual se pide al usuario que introduzca datos sobre su tarjeta de crédito, su dirección postal, su teléfono,... Una vez releno y enviado el formulario, el troyano envía la información al creador del virus. |
|
| - W32/Duload.worm [ Peligrosidad 1 - Mínima ] | |
| Descripción: Gusano que se propaga a través de KaZaa. No tiene carga destructiva, salvo cambiar la configuración de KaZaa y dejar copias de él mismo en varios directorios del sistema. |
|
| - PWS-MSNCrack [ Peligrosidad 1 - Mínima ] | |
| Descripción: Se trata de un Troyano encargado de capturar las claves de acceso a Windows y MSN Messenger en las versiones en lenguaje Castellano. Si el usuario local se registra en MSN Messegenr cuando el troyano está activo, el usuario será desconectado y presentado el falso interfaz de usuario para el acceso, haciendo creer al usuario que realiza una conexión MSN válida, cuando en realidad lo que sucede es que las claves son capturadas y enviadas al creador del troyano. |
|
|
|
|
