Gusanos (worms)

Gusanos de sistemas de mensajes instantáneos

1.IM-Worm.Win32.Bropia.aj

Este gusano se propaga a través de Internet usando MSN Messenger. Está escrito en Visual Basic y es de aproximadamente 200 KB de tamaño. El gusano contiene un programa backdoor, el Backdoor.Win32.Rbot.hg que mismo para ser descomprime e instala en el equipo de la ví...

2. IM-Worm.Win32.Bropia.ad

Este gusano está escrito en Visual Basic y normalmente tiene dos componentes: el gusano de Mensajes Instantáneos en sí, y una variante de Backdoor.Win32.Rbot incluida en el archivo. El backdoor se empaqueta usualmente con UPX y Morphine. Será detectado como...

3. IM-Worm.Win32.Funner

Este gusano de propaga a tavés de Internet, usando MSN Messenger. Está escrito en Visual Basic. Es de aproximadamente 56KB de tamaño, empaquetado utilizando ASP. El archivo sin empaquetar es de aproximadamente 306KB. Instalación Una vez ejecutado, el gusano se copia al...

4.  IM-Worm.Win32.Jitux

Jitux es un gusano de Internet que se propaga a través del sistema de MSN Messenger. Está escrito en Visual Basic y su tamaño es aproximadamente 24KB. El gusano envía mensajes con el localizador uniforme de recursos (URL) de la versión del gusano que puede ser...

Gusanos de Internet

1.Email-Worm.Win32.Eyeveg.b

Este gusano está escrito en Visual C++ y empaquetado usando UPX. El archivo es de un tamaño deEl tamaño del archivo es de 41480 bytes. Instalación El gusano se copia al directorio del sistema bajo un nombre cualquiera compuesto de seis caracteres. Luego registra é...

2.  Email-Worm.Win32.Eyeveg.f

ste gusano está escrito en Visual C++ y se compone de dos archivos, un archivo ejecutable (EXE) y una biblioteca de enlace dinámico (dynamic link library ó DLL), la cual se encuentra dentro del archivo EXE. El archivo EXE se empaqueta usando UPX, y es de un tamañosu...

3.  Email-Worm.Win32.Eyeveg.g

Este gusano se propaga a través del de Internet como un archivo adjunto a correos electrónicos infectados. También se propaga a través de recursos de redes abiertas. Se envía a sí mismo a direcciones de correo electrónico recolectadas de eldel...

4. Net-Worm.Win32.Mytob.bi

Este gusano de la red es típico de la familia de Mytob. Infecta ordenadores que se ejecutan con Windows. Se extiende vía Internet como un anexo a los mensajes infectados, incluye un programa de puerta trasera (backdoor) que recibe ordenes vía canales de charla interactiva...

5. Net-Worm.Win32.Mytob.bk

Este gusano de red infecta ordenadores con Windows. El gusano en sí es un archivo PE EXE, escrito en Visual C++ y empaquetado usando UPX. El tamaño del archivo es de 57470 bytes. El archivo sin empaquetar tiene un tamaño aproximado de 116KB. También se extiende por...

6. Net-Worm.Win32.Mytob.be

e gusano de red infecta ordenadores que se ejecutan con Windows y se propaga aprovechando las vulnerabilidades del MS Windows LSASS. bién se extiende por Internet como un anexo a los mensajes infectados. Se envía a sí mismo a direcciones de correo electrónico...

7.  Net-Worm.Win32.Mytob.r

Éste virus trabaja en la red infectando ordenadores que operan con Windows. El gusano es un archivo PE EXE de aproximadamente de 63 KB de tamaño, empaquetado usando UPX. El archivo descomprimido es de aproximadamente 164 KB de tamaño; sin embargo, hay ciertas modificaciones en...

8.   Net-Worm.Win32.Mytob.w

Este gusano de red infecta ordenadores con Windows. El gusano en sí es un archivo PE EXE escrito en C++. El archivo empaquetado es de un tamaño de 49281 bytes, y sin empaquetar es de 240 KB. El gusano se propaga usando la vulnerabilidad de LSASS, detallada en el boletín de...

Gusanos de correo electrónico

Los gusanos de correo electrónico se propagan por medio de mensajes infectados. El gusano puede estar en forma de archivo adjunto o contener un enlace a un sitio web infectado. Sin embargo, en ambos casos el vehículo es el mensaje de correo electrónico.

En el primer caso, el gusano se activa cuando el usuario abre los datos adjuntos. En el segundo caso, el gusano se activa cuando el usuario sigue el enlace que lleva al sitio infectado.

Los gusanos de correo electrónico por lo general usan uno de los siguientes métodos para propagarse:

Conexión directa a los servidores SMTP usando una biblioteca SMTP API contenida en el gusano

Servicios de MS Outlook

Funciones MAPI de Windows

Los gusanos de correo electrónico recolectan direcciones en los equipos de las víctimas para seguir propagándose. Los gusanos usan una o más de las siguientes técnicas:

Escanear la libreta de direcciones locales de MS Outlook

Escanear la base de datos WAB

Escanear los archivos que pueden contener direcciones de correo electrónico

Enviar copias de sí mismo a todos los mensajes del buzón postal del usuario (los gusanos incluso pueden "responder" a mensajes que el usuario todavía no ha abierto)

Mientras estas son las técnicas más usadas, algunos gusanos son capaces hasta de construir nuevas direcciones usando listas de posibles nombres combinadas con nombres de dominio comunes.

Gusanos de sistemas de mensajes instantáneos (ICQ y MSN)

Estos gusanos tienen sólo un método de propagación. Se propagan por medio de sistemas de mensajes instantáneos, enviando a todos los contactos locales enlaces a sitios web infectados. La única diferencia entre estos virus y los de correo electrónico, es la forma en que envían los enlaces.

Gusanos de Internet

Los autores de virus usan otras técnicas para distribuir gusanos de ordenador, incluyendo:

Copiar el gusano a los recursos de red compartidos

Explotar las vulnerabilidades de los sistemas operativos para penetrar a los ordenadores o a las redes

Penetrar las redes públicas

Piggy-backing: usar otros programas maliciosos en calidad de portador del gusano

En el primer caso, el gusano localiza equipos remotos y se copia a sí mismo en los directorios que están abiertos a operaciones de lectura y escritura. Estos gusanos de red escanean todos los recursos de red disponibles, usando los servicios locales de los sistemas operativos y escaneando Internet en búsqueda de equipos vulnerables. A continuación, intentan conectarse a esos equipos y obtener acceso ilimitado a los mismos.

En el segundo caso, los gusanos escanean Internet buscando equipos que no han sido parchados, es decir, cuyos sistemas operativos contienen vulnerabilidades críticas aún abiertas. El gusano envía paquetes de datos o solicitudes que pueden instalar el gusano completo o una sección de su código fuente que contiene funciones de downloader. Si este código se instala con éxito, el gusano completo es posteriormente cargado. En ambos casos, una vez que el gusano se instala, empieza a ejecutar su código y el ciclo continua.

Los gusanos que usan servidores Web y FTP pertenecen a otra categoría. La infección se realiza en dos etapas. Primero, los gusanos penetran a archivos de servicio en el servidor de archivos, por ejemplo, a páginas web estáticas. Después, los gusanos esperan a que los clientes efectuen alguna acción con los archivos infectados y entonces atacan a los equipos individuales. Estos equipos-víctimas son luego usados como plataforma de lanzamiento para realizar nuevos ataques.

"Algunos creadores de virus usan gusanos o troyanos para difundir nuevos gusanos. Inicialmente, estos autores identifican a los troyanos o gusanos que instalaron puertas traseras (backdoors) en los equipos de las víctimas. En la mayoría de los casos, éstas permiten enviar instrucciones al equipo de la víctima.

Los ordenadores zombies que tienen puertas traseras instaladas, pueden usarse para descargar y ejecutar archivos, en este caso, copias de nuevos gusanos."

Muchos gusanos combinan dos o más métodos de propagación para penetrar con más eficiencia los equipos de las víctimas potenciales.

Gusanos de IRC

Este tipo de gusanos, al igual que los gusanos de correo electrónico, usa dos formas de propagarse por los canales de IRC, similares a las descritas anteriormente. La primera es enviar un enlace que lleve a un sitio infectado. La segunda, enviar archivos infectados, es menos efectiva, ya que el destinatario tiene que confirmar la recepción, guardar el archivo y abrirlo para que el gusano penetre al equipo de la víctima.

Gusanos de redes de intercambio de archivos (File-sharing o P2P)

Estos gusanos se copian a sí mismos en una carpeta compartida, por lo general ubicada en el equipo local. Una vez que el gusano ha logrado poner una copia de sí mismo en una carpeta compartida bajo un nombre aparentemente inofensivo, la red P2P empieza a funcionar: informa a los otros usuarios acerca del nuevo recurso y proporciona la infraestructura para cargar y ejecutar el archivo infectado.

Otros gusanos de P2P más complejos imitan el protocolo de red de redes específicas: responden afirmativamente a todas las solicitudes y "ofrecen" el gusano a todos los usuarios.

TROYANOS

Puertas traseras (Backdoors)

Hoy en día, las puertas traseras son el tipo de troyanos más peligroso y difundido. Estos troyanos son utilitarios de administración remota que someten los equipos infectados a un control externo por medio de la red local o Internet. Su forma de funcionamiento es similar a la de los programas de administración remota (a distancia) usados por los administradores de sistemas. Esto hace que sea dificil detectarlos.

La única diferencia entre una herramienta de administración legal y una puerta trasera es que éstas se instalan sin que el usuario lo sepa y sin su consentimiento. Cuando la puerta trasera es ejecutada, empieza a monitorear el sistema local sin que el usuario lo note. Con frecuencia la puerta trasera no figura en el log de los programas activos.

Una vez que un utilitario de administración a distancia se instala y ejecuta, el equipo de la víctima queda a disposición del agresor. Las puertas traseras pueden:

Enviar y recibir archivos

Activar y eliminar archivos

Ejecutar archivos

Mostrar notificaciones

Borrar datos

Reiniciar el ordenador

En otras palabras, los autores de virus usan las puertas traseras para detectar y bajar información confidencial, ejecutar código malicioso, destruir datos, incluir el ordenador en redes bot, etc. En resumen, las puertas traseras combinan la funcionalidad de la mayoría de tipos de troyanos en un solo paquete.

La puertas traseras tienen una subclase particularmente peligrosa: las variantes que pueden propagarse como gusanos. La única diferencia es que los gusanos están programados para propagarse constantemente, en tanto que las puertas traseras móviles se propagan unicamente al recibir una instrucción específica de su "amo".

Troyanos en general

Esta amplia categoría incluye una gran variedad de troyanos que causan daños a los equipos de las víctimas, amenazan la integridad de sus datos o perjudican el funcionamiento del equipo de la víctima.

Los troyanos multifuncionales también se incluyen en este grupo, ya que algunos creadores de virus prefieren crear troyanos multifuncionales antes que paquetes de troyanos.

Troyanos que roban contraseñas

Esta familia de troyanos se dedica a robar contraseñas, por lo general, las contraseñas para entrar al sistema de los equipos de las víctimas. Estos troyanos buscan los archivos del sistema que contienen información confidencial tales como contraseñas y números de acceso a Internet para luego enviar esta información a una dirección de correo elctrónico contenida en el cuerpo del troyano. La información secuestrada será usada por el "amo" o usuario del programa ilegal.

Algunos troyanos pueden robar otro tipo de información:

Detalles de la configuración del sistema (memoria, espacio libre, detalles del sistema operativo)

Detalles del cliente de correo electrónico

Direcciones IP

Detalles de inscripción

Contraseñas de juegos en línea

Los troyanos AOL son ladrones de contraseñas de America Online. Los hemos puesto en subgrupos porque son demasiado numerosos.

Clickers troyanos

Esta familia de troyanos remite los equipos de las víctimas a determinados sitios web o recursos de Internet. Los clickers también envían a los navegadores determinadas instrucciones o reemplazan los archivos del sistema dónde se guardan las direcciones de Internet (por ejemplo, los archivos "hosts" en MS Windows.

Los clickers suelen usarse para:

Elevar la posición de determinados sitios en las clasificaciones con objetivos publicitarios

Organizar ataques DoS contra el servidor o sitio especificado

Para conducir a la víctima hacia un recurso infectado, donde será atacada por otros programas maliciosos (virus o troyanos).

Descargadores troyanos (Downloaders)

Esta familia de troyanos descarga e instala nuevos programas maliciosos o publicitarios en el equipo de la víctima. Luego el downloader ejecuta los nuevos programas maliciosos o los registra para ser ejecutados automáticamente, de conformidad con las exigencias del sistema operativo local. Todo esto se hace sin que el usuario se dé cuenta y sin su consentimiento.

Los nombres y las ubicaciones de los programas maliciosos a bajar se incrustan en el troyano o se bajan desde determinados sitios web o Internet.

Droppers troyanos

Se utilizan para instalar otros programas maliciosos en los equipos de las víctimas sin que el usuario se dé cuenta. Los droppers instalan su carga útil sin mostrar ninguna notificación o bien mostrando un mensaje falso sobre un error en un archivo comprimido o en el sistema operativo. El nuevo programa malicioso es dejado en una ubicación específica o en un disco local para luego ser ejecutado.

Por lo general los droppers tienen la siguiente estructura:

Archivo principal: contiene la "carga útil" del troyano

File 1: primera carga útil

File 2: segunda carga útil

...

el programador puede incluir todos los archivos que desee

El dropper contiene un código que instala y ejecuta todos los archivos de la carga útil.

En la mayor parte de los casos, la carga útil contiene otros troyanos y por lo menos un hoax o maniobra de distración: chistes, juegos, gráficos o algo por el estilo. El hoax distrae la atención del usuario o pretende probar que la actividad causada por el dropper es inofensiva, pero en realidad sirve para disimular la instalación de la carga útil peligrosa.

Los hackers usan estos programas para alcanzar dos objetivos:

Ocultar o disimular la instalación de otros troyanos o virus

Engañar a las soluciones antivirus que son incapaces de analizar todos los componentes

Proxies troyanos

Funcionan como servidores proxy y proporcionan acceso anónimo a Internet desde los equipos de las víctimas. Hoy en día estos troyanos son muy populares entre los spammers que siempre necesitan de equipos adicionales para hacer sus envíos masivos. Los programadores de virus con frecuencia incluyen proxies-troyanos en sus paquetes de troyanos y venden las redes de equipos infectados a los spammers.

Trojan Spies

Esta familia incluye un variedad de programas espías y key loggers, que monitorean la actividad del usuario en el equipo afectado y luego envían esta información a su "amo". Los espías troyanos recolectan varios tipos de información:

>

Textos introducidos por medio del teclado

Capturas de pantalla (screenshots)

Logs de las aplicaciones activas

Otras acciones de los usuarios

Estos troyanos están siendo cada vez más utilizados para robar información bancaria y financiera que pueda servir de soporte para fraudes en línea.

Notificadores troyanos

Estos troyanos envían informes acerca del equipo infectado a su "amo". Los notificadores confirman que un equipo ha sido infectado y envía información sobre la dirección IP, los puertos abiertos, las direcciones de correo electrónico y otros datos del equipo de la víctima. Esta información se puede enviar por correo electrónico, al sitio web del "amo" o por ICQ.

Por lo general, los notificadores se incluyen en los paquetes troyanos y se usan solamente para informar al "amo" que el troyano ha sido instalado con éxito en el equipo de la víctima.

Rootkits

Un rootkit es una colección de programas usados por un hacker para evitar ser detectados mientras buscan obtener acceso no autorizado a un ordenador. Esto se logra de dos formas: reemplazando archivos o bibliotecas del sistema; o instalando un módulo de kernel. El hacker instala el rootkit después, obteniendo un acceso similar al del usuario: por lo general, crakeando una contraseña o explotando una vulnerabilidad, lo que permite usar otras credenciales hasta conseguir el acceso de raiz o administrador.

A pesar de que el término tiene su origen en el mundo de Unix, ha sido usado para denominar las técnicas utilizados por los autores de troyanos para Windows. El uso de rootkits para enmascarar las actividades de los troyanos está creciendo, ya que muchos de los usuarios de Windows ingresan al sistema con credenciales de administrador.

"Bombas" para compresores de archivos

Estos troyanos son archivos comprimidos programados para sabotear al programa de descompresión cuando éste intente abrir el archivo comprimido infectado. El equipo víctima puede ralentizarse o colapsar cuando la bomba troyana explota, o el disco duro se puede llenar de datos sin sentido. Las ArcBombs representan un especial peligro para los servidores, sobre todo cuando los datos entrantes son procesados de forma automática. En casos como éste, una ArcBomb puede hacer que el servidor colapse.

Hay tres tipos de ArcBombs: los que contienen un encabezamiento incorrecto, datos repetitivos o varios ficheros idénticos en el archivo.

Un encabezamiento incorrecto, o la presencia de datos corruptos pueden causar que el programa de descompresión colapse cuando intente abrir y descomprimir el archivo infectado.

Un archivo grande que contiene datos repetitivos puede ser comprimido en un archivo diminuto: 5 gigabytes pueden convertirse en 200KB si se usa RAR y en 480 KB si se usa ZIP.

Además, existen tecnologías especiales que permiten empaquetar un enorme número de archivos idénticos en un solo fichero sin afectar significativamente el tamaño del archivo en sí mismo: así, es posible empaquetar 10100 archivos idénticos en un archivo RAR de 30 KB o en un ZIP de 230 KB.

Articulo original, mayor informacion clic aqui

powered by Kaspersky Lab's

Ya hace 15 dias q estoy viviendo en mi nuevo hogar, aunq queda cerk d dond vivia ants, la distancia atormenta a mis padres :S.

 ahhhh!  Manizales lâ tierra d ferias y fiestas, oleajes d mujeres y corridas d toros (no entiendo la gente como puede disfrutar la muerte y el sadismo contra un animal, ¨toreros al codigo penal!!¨) en fin, q bella es Manizales, m enknta su clima templado, no frio, templado t da la sensacion q a toda horas estas fresco, asi camines demasiado y t fatigues  por correr diez cuadras de seguido por no llegar tarde al trabajo (lo digo por experiencia ^^), permaneces ccomo si hubieras akbado d salir del baño, es fantastico :)... Aun asi, en estas dos semanas no a cesado d llover  ya hasta nos inundamos dond m estoy quedando (bueno exagere, se nos entro el agua q dia) aqui toda las personas andan con su sombrilla en la mano porq como kda 3 horas esta lloviendo y yo ya m he chupado dos d esos aguaceros uno por la mañana y otra por la tard :S....↓↓Î↨◄AAÎ# üEE8M↓↨§↓☻▼ÿ♪. pero igual todo es cuestion d costumbre a lo mejor hasta evolucionemos en algo asi como una especie impermeable o por lo meos yo q ya estoy resfriado uff uff uff. jejejejeje

saludos a todos mis amigos y amigas en Dosquebradas, un abrazo

http://tkfiles.storage.msn.com/x1pPHu2K6HCG6o-RMA4nkCe6xmAmMMd7jU_7SkGgxyJt0KXgTvKal27hCIfeNCeOgq6MjINHi1Hqs9Z7r6rwPkh0XglPNMPewIrtxMvXOeqGNBdHHng4bxGTw