Mundo descargas   Mundo descargas
Mundo descargas Elige el foro que te interese y recuerda se amable y respetuoso ayuda si puedes ,estos foros son para ayudarnos unos a otros dejar preguntas descargas Emule
 
 Registrarse   Mundo   FAQ   Buscar   Miembros   Grupos de Usuarios   Login 

Foros de discusión -> Virus Troyanos spywere -> Mocalo.DB. Utiliza e-mail y P2P, deshabilita firewall
Publicar nuevo tema  Responder al tema Ver tema anterior :: Ver tema siguiente 
  Mensaje Mocalo.DB. Utiliza e-mail y P2P, deshabilita firewall - Publicado: Dom May 28, 2006 6:08 pm Responder citando  
Invitado




Nombre: Mocalo.DB
Nombre NOD32: Win32/Mocalo.DB
Tipo: Gusano de Internet (P2P) y caballo de Troya
Alias: Mocalo.DB, W32.Feebs, W32/Feebs.gr, W32/Feebs.GR!worm, W32/Feebs-Gen, Win32.HLLM.Graz.based, Win32.Worm.Feebs.1.Gen, Win32/Mocalo.DB, Worm.Feebs.AE, Worm.Win32.Feebs.gr, Worm/Feebs, Worm/Feebs.Gen
Fecha: 26/may/06
Plataformas: Windows 2000, XP, 2003
Tamaño: 61,588 bytes

Gusano que se propaga a través de correo electrónico, y de redes P2P, utilizando diferentes nombres, los que están relacionados con conocidas aplicaciones.

También ha sido enviado en forma de spam masivo, en mensajes con diferentes asuntos, textos y nombres de archivos adjuntos con extensión .ZIP, conteniendo a su vez un archivo .HTA, que a su vez posee un código en JavaScript embebido en él, que al ejecutarse descarga de Internet el componente principal del gusano. Este componente también puede ser descargado al visitar ciertos sitios maliciosos.

El código en JavaScript (y el archivo HTA), es detectado por NOD32 como una variante de JS/TrojanDownloader.Tivso.gen

El gusano puede obtener información de los equipos infectados, la que es enviada a un servidor FTP remoto.

Cuando el gusano se ejecuta, libera una copia de si mismo con parte de su nombre seleccionado al azar, en la carpeta del sistema, además de otro archivo con extensión .DLL:
c:\windows\system32\ms??
c:\windows\system32\ms??.exe
c:\windows\system32\ms??32.dll

Donde "??" son dos caracteres al azar.

Para ocultar su actividad y permitir el acceso remoto de usuarios maliciosos, el gusano puede deshabilitar el cortafuegos de Windows XP, modificando el registro:

HKCU\Software\Policies\Microsoft
\WindowsFirewall\DomainProfile
EnableFirewall = "dword:00000000"

HKCU\Software\Policies\Microsoft
\WindowsFirewall\StandardProfile
EnableFirewall = "dword:00000000"

HKLM\SOFTWARE\Policies\Microsoft
\WindowsFirewall\DomainProfile
EnableFirewall = "dword:00000000"

HKLM\SOFTWARE\Policies\Microsoft
\WindowsFirewall\StandardProfile
EnableFirewall = "dword:00000000"

También crea las siguientes entradas:

HKLM\SOFTWARE\Classes\CLSID
\{????????-????-????-????-????????????}\InprocServer32
(Predeterminado) = "c:\windows\system32\ms??32.dll"

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\ShellServiceObjectDelayLoad
Ms??32.dll = "{????????-????-????-????-????????????}"

HKLM\SOFTWARE\Microsoft\MS??\dat

HKLM\SOFTWARE\Microsoft\MS??\sdat

Donde {????????-????-????-????-????????????} es un identificador CLSID al azar.

Para propagarse, se copia en las carpetas compartidas de diversas utilidades P2P, con nombres como los siguientes (entre otros posibles):

3dsmax_9_(3D_Studio_Max)_new!_full+crack.zip
ACDSee_9_new!_full+crack.zip
Adobe_Photoshop_10_(CS3)_new!_full+crack.zip
Adobe_Premiere_9_(2.0_pro)_new!_full+crack.zip
Ahead_Nero_8_new!_full+crack.zip
DivX_7.0_new!_full+crack.zip
ICQ_2006_new!_full+crack.zip
Internet_Explorer_7_new!_full+crack.zip
Kazaa_4_new!_full+crack.zip
Longhorn_new!_full+crack.zip
Microsoft_Office_2006_new!_full+crack.zip
winamp_5.2_new!_full+crack.zip

El archivo .ZIP contiene una copia del gusano. También puede contener un archivo de texto, con alguno de los siguientes nombres (de acuerdo al nombre del .ZIP):

3dsmax_9_(3D_Studio_Max).txt
ACDSee_9.txt
Adobe_Photoshop_10_(CS3).txt
Adobe_Premiere_9_(2.0_pro).txt
Ahead_Nero_8.txt
DivX_7.0.txt
ICQ_2006.txt
Internet_Explorer_7.txt
Kazaa_4.txt
Longhorn.txt
Microsoft_Office_2006.txt
winamp_5.2.txt

El gusano también puede descargar un archivo de Internet, el cuál es almacenado con alguno de los siguientes nombres:

c:\command.exe
c:\recycled\userinit.exe

NOTA: No confundir con C:\COMMAND.COM

Este componente, intentará eliminar las siguientes entradas del registro:

HKLM\SYSTEM\CurrentControlSet\Services\FirePM
HKLM\SYSTEM\CurrentControlSet\Services\KmxFile
HKLM\SYSTEM\CurrentControlSet\Services\pcipim
HKLM\SYSTEM\CurrentControlSet\Services\pcIPPsC
HKLM\SYSTEM\CurrentControlSet\Services\RapDrv

Puede crear además, la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows:

HKLM\SOFTWARE\Microsoft
\Active Setup\Installed Components
\{CD5AC91B-AE7B-E83A-0C4C-E616075972F3}
Stubpath = "[nombre del ejecutable]"
 
Volver arriba  

  Foros de discusión -> Virus Troyanos spywere -> Mocalo.DB. Utiliza e-mail y P2P, deshabilita firewall Todas las horas son GMT  
Página 1 de 1  
Puede publicar nuevos temas en este foro
Puede responder a temas en este foro
No puede editar sus mensajes en este foro
No puede borrar sus mensajes en este foro
No puede votar en encuestas en este foro
   
  
 Publicar nuevo tema  Responder al tema