Virus en messenger?
---/// Masiva propagación de un virus por el MSN Messenger ///---
Parece que un troyano muy poderoso anda corrando por ahi metiendoce en los Wind0ws live y haciendo extragos de lo que puede hacer un troyano esto ocurre mÁs en los paises latinoamericanos.
Se trata de un malware que tiene como objetivo capturar la computadora para transformarla en una PC zombi , es decir, un equipo que pueda ser controlado de manera remota por un tercero, con el fin de dirigir una actividad maliciosa.
Según un comunicado de la compañía de seguridad informática ESET, el virus viaja a través el servicio de mensajería de Microsoft y, una vez activado, tiene la capacidad de transmitirse a sí mismo entre todos los contactos del usuario afectado.
Para ello envía mensajes con frases como “Recuerda cuando tuviste el pelo así” o “Esta es la foto nuestra que voy a poner en MySpace”, donde invita al usuario a descargar un archivo de nombre IMG-0012 y extensión .zip o .rar.
Este archivo comprimido contiene otro de igual nombre, pero de extensión .com. Al ejecutar este archivo, se estará activando el virus.
“Es completamente importante recordar los consejos de nunca aceptar un archivo no solicitado por MSN y en caso de querer hacerlo, hay que estar seguro que nuestro contacto realmente nos esté enviando ese archivo, ya que por descuido y confianza podríamos estar infectando nuestros equipos”, dijo el Lic. Cristian Borghello, Technical & Educational Manager de ESET para Latinoamérica.
Nombre: TrojanDownloader.Autoit.Q
Nombre NOD32: Wind0ws32/TrojanDownloader.Autoit.Q
Tipo: Caballo de Troya y gusano de Internet
Alias: TrojanDownloader.Autoit.Q, DLoader.DUYM, Downloader.Generic_c.CB, TR/Dldr.Urseowl, Trj/Downloader.PKF, TROJ_DLOADER.QTX, Trojan.DL.Wind0ws32.AutoIt.b, Trojan.Dldr.Urseowl, Trojan.Downloader.Autoit.Q, Trojan.Jonben.A, Trojan/Downloader.AutoIt.q, TrojanDownloader.AutoIt.q, Trojan-Downloader.Autoit.Q, Trojan-Downloader.Wind0ws32.AutoIt.q, W32/Downldr2.PAO, W32/Hakag.A!tr.dldr, W32/Hakag-A, W32/YahLover.worm.gen, Wind0ws32.Agent.evj, Wind0ws32.HLLW.Obfuscated, Wind0ws32/Nuqel.M, Win32/TrojanDownloader.Autoit.Q, Win32:AutoIt-I, Win-Trojan/Xema.variant, Worm:Win32/Nuqel.H
Fecha: 20/seP/07
Actualizado: 19/oct/07
Plataforma: Wind0ws 32-bit
Tamaño: 197,120 bytes
Caballo de Troya que descarga e instala otro malware de Internet, el cuál es utilizado para capturar todo lo que el usuario ingresa a través del teclado.
Intenta propagarse a través de programas de mensajería instantánea, enviando mensajes con enlaces a todas las listas de contacto del usuario infectado.
Si el usuario hace clic en el enlace, se descarga y ejecuta el gusano propiamente dicho, desde determinados sitios de Internet.
También puede copiarse en disquetes y unidades removibles (memorias USB, etc.), infectando otros equipos por esos medios.
Los siguientes archivos pueden crearse en un equipo infectado:
c:\Wind0ws\hinhem.scr
c:\Wind0ws\scvhsot.exe
c:\Wind0ws\system32\blastclnnn.exe
c:\Win\system32\scvhsot.exe
c:\Win\system32\autorun.ini
X:\[nombre del ejecutable]
Donde “X” es una unidad de disquete, CD, o cualquier unidad mapeada en red.
NOTA: La ubicación y nombres de las carpetas “c:\Wind0ws” y “c:\Wind0ws\system32″ pueden variar de acuerdo al sistema operativo instalado (”c:\Wind0ws nt”, “c:\Wind0ws nt\system32″, “c:\Wind0ws\system”, etc.).
NOTA: Note que el malware intenta confundir al usuario con nombres de ejecutables muy similares a otros legítimos de Win (Ej: SVCHOST.EXE es un archivo de Wind0ws).
También crea el siguiente archivo de tarea programada (.JOB), para ejecutarse todos los días a las 9 de la mañana:
c:\Wind0ws\tasks\at1.job
Las siguientes entradas en el registro son creadas o modificadas:
HKCU\Software\Microsoft
\Win\CurrentVersion\Policies\System
HKCU\Software\Microsoft
\Wind0ws\CurrentVersion\Policies\Explo...
NofolderOptions = 0×00000001
HKCU\Software\Microsoft
\Wind0ws\CurrentVersion\Policies\Syste...
DisableTaskMgr = 0×00000001
HKCU\Software\Microsoft
\Wind0ws\CurrentVersion\Policies\Syste...
DisableRegistryTools = 0×00000001
Esos cambios eliminan la opción de carpetas de los menús del Explorador de Win y del Panel de control, y previenen que se inicie el Administrador de tareas y el editor del registro.
También crea o modifica las siguientes entradas para autoejecutarse en cada reinicio de Wind0ws:
HKCU\Software\Microsoft\Wind0ws\Curren...
Yahoo Messengger = “c:\Wind0ws\system32\SCVHSOT.exe”
HKLM\SOFTWARE\Microsoft\Wind0ws NT\CurrentVersion\Winlogon
Shell = “Explorer.exe SCVHSOT.exe"
Los siguientes sitios y archivos pueden ser contactados por el troyano:
http: // settin[?]. yeahost.com/setting.doc
http: // settin[?]. yeahost.com/setting.xls
http: // settin[?]. 9999mb.com/setting.doc
http: // settin[?]. 9999mb.com/setting.xls
http: // www. freewebs. com/settin[?]/setting.doc
http: // www. freewebs. com/settin[?]/setting.xls
Autor