Guía orientativa de códigos peligrososSeptiembre 2002 |
Octubre 2002 Agosto 2002 |
|
|
|
| - Backdoor.AntiLam.20 [ Peligrosidad 1 - Mínima ] | |
| Descripción: Se trata de un troyano/puerta trasera que da a un atacante acceso no autorizado al ordenador infectado. Escucha conexiones en los puertos TCP 29999 y 47891. |
|
| - Backdoor.Cyn [ Peligrosidad 2 - Baja ] | |
| Descripción: Es un 'troyano-puerta trasera' que otorga acceso no autorizado al sistema infectado. Es una aplicación Delphi empaquetada con UPX v1.05-1.22. Por defecto, espera conexión por los puertos TCP: 15432 y 51234. |
|
| - Backdoor.OptixPro.12 [ Peligrosidad 2 - Baja ] | |
| Descripción: Es un troyano de puerta trasera que otorga acceso no autorizado al sistema infectado. Por defecto utiliza el puerto 3410 de la máquina infectada. |
|
| - VBS.Melhack@mm [ Peligrosidad 2 - Baja ] | |
| Descripción: Es un gusano escrito en Visual Basic que se propaga mediante correo electrónico a todas las direcciones incluidas en la libreta de contactos de Windows. También realiza varias acciones:
|
|
| - W32.HLLW.Icasur [ Peligrosidad 1 - Mínima ] | |
| Descripción: Es un gusano que se que se copia a sí mismo en las carpetas compartidas con la aplicación KaZaA. Se han detectado diversas variantes, todas ellas programadas con Microsoft Visual Basic y pudieran ser comprimidas con UPX. El gusano se intenta camuflar bajo la apariencia de pelicula, juego, ficheros de aplicaciones software, o incluso programas pornográficos para engañar a los usuarios de KaZaA y que estos descarguen y abran el fichero. |
|
| - BAT_HOTCAK.A [ Peligrosidad 2 - Baja ] | |
|
Descripción: Es un gusano de envío masivo de correo, con capacidad destructiva. Se propaga a las direcciones incluidas en la libreta de contactos de Microsoft Outlook así como en IRC. LLega asociado en un correo electrónico con el siguiente formato: Asunto: "Patch your system now!!" Fichero Anexo: hotcakes.bat Elimina el fichero AUTOEXEC.BAT. |
|
| - W32.MagicCall [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Se trata de un virus que trata de conectarse a estas direcciones periódicamente (cada 3 minutos) http:/ /www.zymf.com/ http:/ /www.csdn.net/soft/openfile.asp?kind=1&id=6398 y de copiarse a la disquetera como A:\MagicCall.exe |
|
| - WORM_BLINKOM.A [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Es un gusano que se propaga por las unidades compartidas de red. Posee un motor SMTP (Simple Mail Transfer Protocol) que le permite enviar de forma masiva correos en los que se incluyen copias de sí mismo. También se puede propagar mediante mIRC (Internet Relay Chat). Es capaz de parar programas cortafuegos y reducir los parámetros de seguridad de las macros en Microsoft Office. Además, modifica el fondo del escritorio, asignándole un fichero HTML que muestra el texto "you’re infected" (estás inectado). |
|
| - Backdoor.Ptakks.B [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Es un troyano de puerta trasera que permite acceso no autorizado al sistema infectado. Por defecto, abre el puerto 8012 del sistema atacado para establecer la conexión. Es una aplicación de Visual C++, empaquetada con UPX v0.76.1-1.22. |
|
| - Backdoor.Seamy [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Es un troyano de 'puerta-trasera' (backdoor) que facilita al sistema infectado, acceso no autorizado por parte del atacante. Puede ser utilizado para realizar las funciones básicas de este tipo de virus, es decir: obtención de información del sistema, apertura y cierre de la unidad de CD-ROM o la ejecución de ficheros. Muestra la imagen del personaje de Disney 'Stitch'. |
|
| - PWSteal.SoapSpy [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Es un troyano con capacidad para robar contraseñas. Recopila contraseñas de usuario, intercepta las pulsaciones del teclado y envía la información obtenida al autor del troyano. Además, intenta deshabilitar algunos programas cortafuegos finalizando sus procesos activos. Es una aplicación realizada con Visual C++ y empaquetada con UPX v0.76.1-1.22. |
|
| - VBS_EDNAV.C [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Se trata de una variante de VBS_EDNAV.B, código de Visual Basic que también elimina ficheros localizados en la carpeta de "Mis Documentos". Su propagación se realiza infectando ficheros VBS y enviando copias de sí mismo por correo electrónico mediante Microsoft Outlook. El correo electrónico asociado, tiene el siguiente formato: Asunto: "Network Problem" Fichero Adjunto: %fichero VBS infectado% También es capaz de propagarse a través de las redes de compartición de ficheros como Kazaa, o cualquiera otra que permita la compartición de ficheros en red entre iguiales. |
|
| - VBS_EDNAV.B [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Se trata de una variante de VBS_EDNAV.A, código de Visual Basic que en este caso elimina ficheros localizados en la carpeta de "Mis Documentos". Su propagación se realiza infectando ficheros VBS y enviando copias de sí mismo por correo electrónico mediante Microsoft Outlook. El correo electrónico asociado, tiene el siguiente formato: Asunto: "Network Problem" Fichero Adjunto: %fichero VBS infectado% También es capaz de propagarse a través de las redes de compartición de ficheros como Kazaa, o cualquiera otra que permita la compartición de ficheros en red entre iguiales. |
|
| - Backdoor.Latinus.B [ Peligrosidad 2 - Baja ] | |
|
Descripción: Es un troyano de puerta trasera que da a un usuario no autorizado (atacante), acceso al sistema infectado. Por defecto abre los puertos 55665 y 55666 de la máquina atacada. |
|
| - TROJ_DEEV.A [ Peligrosidad 1 - Mínima ] | |
|
Descripción: El troyano es depositado por el gusano VBS_DEEV.A, que se propaga a si mismo gracias a Microsoft Outlook enviándose a todas las entradas contenidas en la libreta de direcciones. |
|
| - Backdoor.OptixPro.10 [ Peligrosidad 2 - Baja ] | |
|
Descripción: Es un troyano de puerta trasera que concede al atacante un acceso no autorizado al sistema infectado. Es una aplicación escrita en Delphi y empaquetada con UPX v1.05-1.22. Por defecto establece el puerto 3410 de la máquina atacada, como punto de conexión. |
|
| - VBS_DEEV.A [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Emisor masivo escrito en Visual Basic Script que transporta un troyano denominado TROJ_DEEV.A. y que se propaga a si mismo enviando correos con el siguiente asunto: "Download MP3s fast..." |
|
| - W32.Stayrina [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Es un gusano de envío masivo de correo electrónico. El virus intenta enviarse a sí mismo a todas las direcciones incluidas en la libreta de contactos de Microsoft Outlook Address Book. El asunto del mensaje es: "THE MOST BEATIFULL EYES EVER!!!"; y no existe fichero anexo. El virus deposita un código de Visual Basic, que efectua la rutina de envío masivo de correo. |
|
| - W32.Velost [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Es un virus cuyo objetivo es infectar ficheros de extensiones .scr y .exe en las unidades desde C:\ a la Z:\. También intenta la conexión con un sitio web concreto cada vez que se ejecuta un fichero infectado. |
|
| - Backdoor.Mite [ Peligrosidad 2 - Baja ] | |
|
Descripción: Es un troyan de puerta trasera con un componente capaz de capturar contraseñas y se camufla bajo la apariencia de un programa de banca por Internet. Cuando es ejecutado, hace creer al usuario que esta instalando el programa de banca por Internet del Banco Brasil, cuando realmente se esta instalando a sí mismo. Normalmente, utiliza el puerto 61000 para esperar conexiones. |
|
| - W32.HLLW.Walrain [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Es un gusano cuya propagación se realiza mediante los ficheros compartidos por redes como KaZaA, iMesh, Morpheus, Gnutella y NeoModus. Se camufla bajo la apariencia de un programa pornográfico para engañar al usuario, y que este descargue y abra el fichero. Esta escrito con el lenguaje de programación Microsoft Visual Basic y podría estar comprimido con ASPack. |
|
| - WM97/Opey-BE [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Es un virus de macro para Word que modifica ciertas propiedades de los documentos infectados así como información sobre el usuario. |
|
| - HTML/Gaggle [ Peligrosidad 2 - Baja ] | |
|
Descripción: Es un gusano cuya propagación se produce por correo electrónico, mediante un mensaje al que se anexa el fichero: AngelDelMar.HTML. Infecta ficheros con extensión HTM que se encuentran en el ordenador afectado, y es capaz de eliminar los ficheros que permiten el acceso al regitro, y los archivos de ayuda de Windows. Adicionalmente, y dependiendo de la fecha del ordenador, muestra textos por pantalla o cambia la página de Inicio del navegador Internet Explorer. |
|
| - VBS_EDNAV.D [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Es un código Visual Basic Script que propaga copias de sí mismo a través de la red de ficheros compartidos de Kazaa. También sobreescribe con su código malicioso, todos los ficheros VBS que encuentra en el sistema infectado. |
|
| - W32.Hunch.H@mm [ Peligrosidad 2 - Baja ] | |
|
Descripción: Es un gusano de envío masivo de correo electrónico que se propaga a través de las direcciones electrónicas incluidas en la libreta de contactos de Outlook. Modifica el fichero Autoexec.bat, en un intento de formatear la unidad C:\. Aleatoriamente elige una extensión de fichero, e intenta eliminar archivos de esa extensión. |
|
| - W32.Hunch.I@mm [ Peligrosidad 2 - Baja ] | |
|
Descripción: Es un gusano de envío masivo de correo electrónico que se propaga a través de las direcciones electrónicas incluidas en la libreta de contactos de Outlook. Modifica el fichero Autoexec.bat, en un intento de formatear la unidad C:\. Aleatoriamente elige una extensión de fichero, e intenta eliminar archivos de esa extensión. |
|
| - W32.Gismor@mm [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Es un gusano que utiliza su propio motor SMTP para enviarse a sí mismo a todas las direcciones que encuentre en el buzón de correo. El asunto del mensaje con el que llega es: "Phenomenal," y su fichero anexo: "MP3Player.exe." |
|
| - W32/Duksten [ Peligrosidad 1 - Mínima ] | |
|
Descripción: W32/Duksten es un virus que se propaga oculto en mensajes de correo electrónico con: Asunto: "NetsKudo,proteccion IP para Windows9x/Me/Nt/2000/XP", Fichero adjunto: "SKUDO.ZIP", Remitente: ISP_Tecnico"skudo@iris.es. Se trata de un virus peligroso, ya que infecta ficheros ejecutables de Windows (PE). Se envía a direcciones de correo obtenidas del ordenador afectado. |
|
| - W32.Housax.Irc [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Se trata de un gusano que se propaga a través de chats IRC. Llega en un fichero de nombre MyHouse.JPG.EXE. No tiene efectos destructivos, salvo el de mostrar un falso mensaje de error : "QTINTF3.DLL. Not Found!". Está escrito en Borland Delphi y empaquetado con UPX. |
|
| - FireAnvil [ Peligrosidad 1 - Mínima ] | |
|
Descripción: FireAnvil es un troyano embebido en Firehand Ember Millenium, un software comercial que se vende por Internet, y que se activa al usar una cierto identificador de usuario al registrar el producto. |
|
| - Trojan.Nullbot [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Se trata de un troyano IRC que permitirá al hacker tomar el control de la máquina infectada. Está escrito en lenguaje "C" de Microsoft y doblemente comprimido con las utilidades UPX y ASPack |
|
| - W32/Flatei.5129 [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Otro virus que utiliza la arquitectura Microsoft.NET architecture. Aunque debido a las exigencias de sistema y el ambiente en el que se duplica actualmente, el virus tiene dificil su propagacion. Para ser operativo debe estar instalada la plataforma .NET sobre WIndows XP. |
|
| - TROJ_GARLIC.B [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Cuando se ejecuta este virus copia ficheros al directorio raiz, C:\, hasta que se llena el disco. No infecta otros ficheros ni se puede propagar por sí mismo (es un troyano). Los nombres de los ficheros son : REG*.EXE HELP*.EXE REGST*.EXE KERNEL*.EXE USER*.EXE MYCON*.EXE Donde el asterisco (*) representa un número desde el 1 hasta el número máximo de copias que se pueden hacer hasta que se llena el disco. |
|
| - W32.HLLC.Happylow [ Peligrosidad 1 - Mínima ] | |
|
Descripción: W32. HLLC.Happylow es un virus de acompañamiento que encripta todos los archivos .exe que residen en la misma carpeta que el virus, cambia la extensión a .wal y se copia a si mismo con el nombre del archivo original. Por ejemplo, el virus encripta el archivo Calc.exe y lo cambia de nombre a Calc.wal. Entonces las copias de virus si mismo quedan como Calc.exe. Finalmente, descifra el archivo Calc.wal y lo ejecuta para simular que Calc.exe ha corrido normalmente. |
|
| - VBS.Lavra.Worm [ Peligrosidad 2 - Baja ] | |
|
Descripción: Gusano que intenta replicarse por las redes de comparticion de ficheros como KaZaA, Morpheus, BearShare, Grokster e ICQ. Intenta camuflarse como un programa relacionado con la pornografía que será descargado en la máquina cuando el usuario intente abrirlo. También borrará ficheros de antivirus y Firewall, está escrito en Visual Basic Script. |
|
| - Backdoor.RCServ [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Es un troyano que facilita al atacante el acceso no autorizado a la máquina infectada. Por defecto establece el puerto de servicio 4128. está escrito en Delphi y empaquetado con la utilidad UPX v1.20. |
|
| - Backdoor.Optix.04 [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Backdoor.Optix.04 es un troyano que proporciona al atacante acceso no autorizado a la máquina infectada. Establece por defecto el puerto de servicio 27379 para permanecer a la escucha. El troyano intentará desproteger cierto sotware de FireWall y antivirus haciendo finalizar sus respectivos procesos. Está escrito en Delphi y empaquetado con la utilidad ASPack v2.10. |
|
| - BAT/Migrate.a@MM [ Peligrosidad 1 - Mínima ] | |
|
Descripción: El gusano es detectado como BAT/Batwerm.gen.worm conteniendo su propio fichero motor de autoenvío y su propio fichero. Se propaga via email, KaZaa, y mIRC, y llega en un correo con las siguientes características: Asunto: A Greeting Card For You Cuerpo: Coz you're special to me... :) Adjunto: greeting.card.bat |
|
| - WORM_CHET.A [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Este gusano dejará una copia de si mismo como SYNCHOST1.EXE en el directorio del sistema. Intentará enviar copias de si mismo por email, aunque debido a errores en su código no funcionará apropiadamente en la mayoría de los sistemas. El mensaje tiene las siguientes caraterísticas: De: main@world.com A: You Asunto: All people!! Adjunto: 11september.exe |
|
| - Trj/GhostGirl [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Trj/GhostGirl es un troyano que no realiza acciones destructivas. Sus acciones se limitan a mostrar una fotografía en pantalla de modo aleatorio, y en abrir y cerrar la bandeja del CD-ROM. Trj/GhostGirl está escrito en el lenguaje de programación Visual Basic 6, y presenta un tamaño de 106496 Bytes. |
|
| - Backdoor.Sparta.B [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Se trata de una variante de Backdoor.Sparta que al igual que su predecesor permite el acceso del hacker a la máquina infectada. Puede acabar eliminando importantes protecciones de seguridad y de los programas antivirus. Utiliza por defecto el puerto de servicio 6969. |
|
| - Backdoor.Zenmaster [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Troyano que proporciona acceso no autorizado a la máquina infectada. Escrito en C++ y empaquetado con la utilidad UPX v1.20. |
|
| - Backdoor.FunFactory [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Backdoor.FunFactory Permitirá a usuarios no autorizados acceder a la máquina infectada. Además permite la comunicación por voz Hacker-usuario. |
|
| - WORM_VODNI.A [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Se propaga via Microsoft Outlook, mIRC, diskettes, y discos compartidos de la red. |
|
| - Trojan.Adclicker [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Trojan.Adclicker es un troyano diseñado para hacer click en banners publicitarios de ciertos sitios web, (en principio relacionadas con el autor del troyano). Al ser ejecutado, crea una copia de si mismo en la carpeta %system% y modifica el registro. |
|
| - Backdoor.Helios [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Troyano que permitirá al hacker acceder de forma no autorizada a la máquina infectada. Utiliza el puerto de servicio 3737 e intentará deterner los procesos activos de antivirus y firewall . Está escrito en Microsoft Visual Basic versión 6. |
|
| - Trojan.IrcBounce [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Se trata de un troyano que utilizará un conjunto de programas para llegar a tomar el control completo de la máquina infectada. |
|
| - VBS/Amalad.a [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Descarga copias de si mismo en /windows y windows/system y /temp con el nombre OsamaLaden.vbs. |
|
| - VBS.Melhack.B [ Peligrosidad 1 - Mínima ] | |
|
Descripción: Emisor masivo de correos escrito en Visual Basic, que se copia a si mismo coln el nombre OsamaLaden.vbs en dos localizaciones. El virus contiene errores que le impiden a realizar la mayor parte de las acciones. Una de ellas por ejemplo, la que intenta enviar mensajes todos los contactos en el Libro de direcciones de Microsoft Outlook. |
|
| - W32.Efno.Worm [ Peligrosidad 1 - Mínima ] | |
|
Descripción: W32.Efno.Worm es un gusano que intenta propagarse usando la popular red de compatición de ficheros de KaZaA. Para su mejor funcionamiento, el gusano necesitará que estén instaladas las librerías del Visual Basic, especialmete (Msvbvm60.dll). |
|
|
|
|
