Nombre:Worm/Rbot.137217
Descubierto:29/05/2006
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:137.217 Bytes
Suma de control MD5:fbf35a9858ac6c862022281f0Ab21483
Versión del VDF:6.34.01.154
Versión del IVDF:6.34.01.160 - martes, 30 de mayo de 2006

 General Método de propagación:
   • Red local


Alias:
   •  Symantec: W32.Spybot.Worm
   •  Kaspersky: Backdoor.Win32.Rbot.aju
   •  TrendMicro: WORM_RBOT.AIJ
   •  Sophos: W32/Rbot-AYM
   •  Grisoft: IRC/BackDoor.SdBot
   •  VirusBuster: Worm.Rbot.DCG
   •  Eset: Win32/Rbot
   •  Bitdefender: Backdoor.RBot.BYV


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Contiene su propio motor para generar mensajes de correo
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\%serie de caracteres aleatorios de siete dígitos%.exe



Elimina la copia inicial del virus.

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "GlobalSCAPE"="%serie de caracteres aleatorios de siete dígitos%.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "GlobalSCAPE"="%serie de caracteres aleatorios de siete dígitos%.exe"



Añade la siguiente clave al registro:

– HKCU\Software\Microsoft\OLE
   • "GlobalSCAPE"="%serie de caracteres aleatorios de siete dígitos%.exe"

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • IPC$
   • C$
   • C$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32\
   • ADMIN$


Emplea la siguiente información de inicio de sesión para obtener el acceso al sistema remoto:

–Contraseñas y nombres de usuarios almacenados.

– El siguiente listado de nombres de usuario:
   • Ackerman; Adams; Addison; Adelstein; Adibe; Adorno; Ahlers; Alavi;
      Alcorn; Alda; Aleks; Allison; Alongi; Altavilla; Altenberger;
      Altenhofen; Amaral; Amatangelo; Ameer; Amsden; Anand; Andel; Ando;
      Andrelus; Andron; Anfinrud; Ansley; Anthony; Antos; Arbia; Arduini;
      Arellano; Aristotle; Arjas; Arky; Atkins; Augustus; Aurelius; Axelrod;
      Axworthy; Ayiemba; Aykroyd; Ayling; Azima; Bachmuth; Backus; Bady;
      Baglivo; Bagnold; Bailar; Bakanowsky; Baleja; Ballatori; Ballew;
      Baltz; Banta; Barabesi; Barajas; Baranczak; Baranowska; Barberi;
      Barbetti; Barneson; Barnett; Barriola; Barry; Bartholomew; Bartolome;
      Bartoo; Basavappa; Bashevis; Batchelder; Baumiller; Bayles; Bayo;
      Beacon; Beal; Bean; Beckman; Beder; Bedford; Behenna; Belanger;
      Belaoussof; Belfer; Belin-Collart; Bellavance; Bellhouse; Bellini;
      Belloc; Benedict-Dye; Bergson; Berke-Jenkins; Bernardo; Bernassola;
      Bernston; Berrizbeitia; Betti; Beynart; Biagioli; Bickel; Binion; Bir;
      Bisema; Bisho; Blackbourn; Blackwell; Blagg; Blakemore; Blanke; Bliss;
      Blizard; Bloch; Bloembergen; Bloemhof; Bloxham; Blyth; Bolger; Bolick;
      Bollinger; Bologna; Boner; Bonham; Boniface; Bontempo; Book;
      Bookbinder; Boone; Boorstin; Borack; Borden; Bossi; Bothman; Botosh;
      Boudin; Boudrot; Bourneuf; Bowers; Boxer; Boyajian; Boyes; Boyland;
      Boym; Boyne; Bracalente; Bradac; Bradach; Brecht; Breed; Brenan;
      Brennan; Brewer; Brewer; Bridgeman; Bridges; Brinton; Britz; Broca;
      Brook; Brzycki; Buchan; Budding; Bullard; Bunton; Burden; Burdzy;
      Burke; Burridge; Busetta; Byatt; Byerly; Byrd; Cage; Calnan; Cammelli;
      Cammilleri; Canley; Capanni; Caperton; Capocaccia; Capodilupo;
      Cappuccio; Capursi; Caratozzolo; Carayannopoulos; Carlin; Carlos;
      Carlyle; Carmichael; Caroti; Carper; Cartmill; Cascio; Case; Caspar;
      Castelda; Cavanagh; Cavell; Ceniceros; Cerioli; Chapman; Charles;
      Cheang; Cherry; Chervinsky; Chiassino; Chien; Childress; Childs;
      Chinipardaz; Chinman; Christenson; Christian; Christiano; Christie;
      Christopher; Chu; Chupasko; Church; Ciampaglia; Cicero; Cifarelli;
      Claffey; Clancy; Clark; Clement; Clifton; Clow; Coblenz; Coito;
      Coldren; Colella; Collard; Collis; Compton; Compton; Comstock;
      Concino; Condodina; Connors; Corey; Cornish; Cosmides; Counter;
      Coutaux; Crawford; Crocker; Croshaw; Croxen; Croxton; Cui; Currier;
      Cutler; Cvek; Cyders; daSilva; Daldalian; Daly; D'Ambra; Danieli;
      Dante; Dapice; D'arcangelo; Das; Dasgupta; Daskalu; David; Dawkins;
      DeGennaro; DeLaPena; del'Enclos; deRousse; Debroff; Dees; Defeciani;
      Delattre; Deleon-Rendon; Delger; Dell'acqua; Deming; Dempster; Demusz;
      Denault; Denham; Denison; Desombre; Deutsch; D'fini; Dicks;
      Diefenbach; Difabio; Difronzo; Dilworth; Dionysius; Dirksen; Dockery;
      Doherty; Donahue; Donner; Doonan; Dore; Dorf; Dosi; Doty; Doug;
      Dowsland; Drinker; D'souza; Duffin; Durrett; Dussault; Dwyer; Eardley;
      Ebeling; Eckel; Edley; Edner; Edward; Eickenhorst; Eliasson;
      Elmendorf; Elmerick; Elvis; Encinas; Enyeart; Eppling; Erbach; Erdman;
      Erdos; Erez; Espinoza; Estes; Etter; Euripides; Everett; Fabbris;
      Fagan; Faioes; Falco-Acosta; Falorsi; Faris; Farone; Farren; Fasso';
      Fates; Feigenbaum; Fejzo; Feldman; Fernald; Fernandes; Ferrante;
      Ferriell; Feuer; Fido; Field; Fink; Finkelstein; Finnegan; Fiorina;
      Fisk; Fitzmaurice; Flier; Flores; Folks; Forester; Fortes; Fortier;
      Fossey; Fossi; Francisco; Franklin-Kenea; Franz; Frazier-Davis; Freid;
      Freundlich; Fried; Friedland; Frisken; Frowiss; Fryberger; Frye;
      Fujii-Abe; Fuller; Furth; Fusaro; Gabrielli; Gaggiotti; Galeotti;
      Galwey; Gambini; Garfield; Garman; Garonna; Geller; Gemberling;
      Georgi; Gerrett; Ghorai; Gibbens; Gibson; Gilbert; Gili; Gill;
      Gillispie; Gist; Gleason; Glegg; Glendon; Goldfarb; Goncalves; Good;
      Goodearl; Goody; Gozzi; Gravell; Greenberg; Greenfeld; Griffiths;
      Grigoletto; Grummell; Gruner; Gruppe; Guenthart; Gunn; Guo; Haar;
      Hackman; Hackshaw; Haley; Halkias; Hallowell; Halpert; Hambarzumjan;
      Hamer; Hammerness; Hand; Hanssen; Harding; Hargraves; Harlow;
      Harrigan; Hartman; Hartmann; Hartnett; Harwell; Haviaras; Hawkes;
      Hayes; Haynes; Hazlewood; Heermans; Heft; Heiland; Hellman; Hellmiss;
      Helprin; Hemphill; Henery; Henrichs; Hernandez; Herrera; Hester;
      Heubert; Heyeck; Himmelfarb; Hind; Hirst; Hitchcock; Hoang; Hock;
      Hoffer; Hoffman; Hokanson; Hokoda; Holmes; Holoien; Holter; Holway;
      Holzman; Hooker; Hopkins; Horsley; Hoshida; Hostage; Hottle; Howard;
      Hoy; Huey; Huidekoper; Hungerford; Huntington; Hupp; Hurtubise;
      Hutchings; Hyde; Iaquinta; Ichikawa; Igarashi; Inamura; Inniss; Isaac;
      Isaievych; Isbill; Isserman; Iyer; Jacenko; Jackson; Jagers; Jagger;
      Jagoe; Jain; Jamil; Janjigian; Jarnagin; Jarrell; Jay; Jeffers;
      Jellis; Jenkins; Jespersen; Jewett; Johannesson; Johannsen; Johns;
      Jolly; Jorgensen; Jucks; Juliano; Julious; Kabbash; Kaboolian;
      Kafadar; Kalbfleisch; Kaligian; Kalil; Kalinowski; Kalman; Kamel;
      Kangis; Karpouzes; Kassower; Kasten; Kawachi; Kee; Keenan; Keepper;
      Keith; Kelker; Kelsey; Kempton; Kemsley; Kendall; Kerry; Keul; Khong;
      Kimmel; Kimmett; Kimura; Kindall; Kinsley; Kippenberger; Kirscht;
      Kittridge; Kleckner; Kleiman; Kleinfelder; Klemperer; Kling;
      Klinkenborg; Klint; Knuff; Kobrick; Koch; Kohn; Koivumaki; Kommer;
      Koniaris; Konrad; Kool; Korzybski; Kotter; Kovaks; Kraemer; Krailo;
      Krasney; Kraus; Kroemer; Krysiak; Kuenzli; Kumar; Kusman; Kuwabara;
      Labunka; Lafler; Laing; Lallemant; Landes; Lankes; Lantieri; Lanzit;
      Laserna; Lashley; Lawless; Lecar; Lecce; Leclercq; Leite; Lenard;
      l'Enclos; Lesser; Lessi; Liakos; Lidano; Liem; Light; Lightfoot; Lim;
      Linares; Linda; Linder; Line; Linehan; Linzee; Lippmann; Lipponen;
      Little; Litvak; Livernash; Livi; Livolsi; Lizardo; Locatelli;
      Longworth; Loss; Loveman; Lowenstein; Loza; Lubin; Lucas; Luciano;
      Luczkow; Luecke; Lunetta; Luoma; Lussier; Lutcavage; Luzader;
      Maccormac; Macdonald; Maceachern; Macintyre; Mackenney; MacMillan;
      Macy; Madigan; Maggio; Mahony; Maier; Maine-Hershey; Maisano;
      Malatesta; Maller; Malova; Manalis; Mandel; Manganiello; Mantovan;
      March; Marchbanks; Marcus; Margalit; Margetts; Marques; Martinez;
      Martochio; Marton; Marubini; Mass; Matalka; Matarazzo; Matsukata;
      Mattson; Mauzy; May; Mazzali; Mazziotta; Mcbride; Mccaffery; Mccall;
      Mcclearn; Mcdowell; Mcelroy; McFadden; Mcghee; Mcgoldrick; McIlroy;
      Mcintosh; Mckenna; Mclane; Mclaren; Mcnealy; Mcnulty; Meccariello;
      Memisoglu; Menzies; Merikoski; Merlani; Merminod; Merseth; Merz;
      Metelka; Metropolis; Meurer; Michelman; Middle; Mieher; Mills; Minh;
      Mini; Minichiello; Gonzalez; Mitropoulos; Mittal; Mocroft; Modestino;
      Moeller; Mohr; Moiamedi; Monque; Montilio; MooreDeCh.; Morani;
      Moreton; Morrison; Morrow; Mortimer; Mosher; Mosler; Mostafavi;
      Motooka; Mudarri; Muello; Mugnai; Mulkern; Mulroy; Mumford; Mussachio;
      Naddeo; Napolitano; Nardi; Nardone; Naviaux; Nayduch; Nelson; Nenna;
      Nesci; Neuman; Newfeld; Newlin; Nickerson; Nickoloff; Nisenson;
      Nitabach; Notman; Nuzum; Ocougne; Ogata; O'hagan; Oldford; Olsen;
      Olson; Olszewski; O'malley; Oman; O'meara; Opel; Oray; Orfield; Orsi;
      Ospina; Ostrowski; Ottaviani; Otten; Ouchida; Ovid; PaesDealmeida;
      Paine; Palayoor; Palepu; Pallara; Palmitesta; Panadero; Panizzon;
      Pantilla; Paoletti; Parmeggiani; Parris; Partridge; Pascucci;
      Patefield; Patrick; Pattullo; Pavetti; Pavlon; Pawloski; Paynter;
      Peabody; Pearlberg; Pederson; Peishel; Penny; Pereira; Perko; Perlak;
      Perlman; Perna; Perone; Perrimon; Peters; Petruzello; Pettibone;
      Pettit; Pfister; Pilbeam; Pinot; Plancon; Plant; Plasket; Plous;
      Pocobene; Poincaire; Pointer; Poirier; Polak; Polanyi; Politis; Poma;
      Poolman; Powers; Presper; Preucel; Prevost; Pritchard; Pritz;
      Proietti; Prothrow-Stith; Puccia; Pugh; Pynchon; Quaday; Quetin; Rabe;
      Rabkin; Radeke; Rajagopalan; Raney; Rangan; Rankin; Rapple; Rayport;
      Redden-Tyler; Reedquist; Cunningham; Reinold; Remak; Renick; Repetto;
      Resnik; Rhea; Richmond; Rielly; Rindos; Rineer; Rish; Rivera;
      Robinson; Rocha; Roesler; Rogers; Ronen; Row; Royal; Ruan; Ruderman;
      Ruescher; Rush; Ryu; Sabatello; Sadler; Safire; Sahu; Sali; Samson;
      Sanchez-Ramirez; Sanna; Sapers; Sarin; Sartore; Sase; Satin; Satta;
      Satterthwaite; Sawtell; Sayied; Scarponi; Scepan; Scharf; Scharlemann;
      Scheiner; Schiano; Schifini; Schilling; Schmitt; Schossberger;
      Schuman; Schutte; Schuyler; Schwan; Schwickrath; Scovel; Scudder;
      Seaton; Seeber; Segal; Sekler; Selvage; Sen; Sennett; Seterdahl;
      Sexton; Seyfert; Shaikh; Shakis; Shankland; Shanley; Shar; Shatrov;
      Shavelson; Shea; Sheats; Shepherd; Sheppard; Shepstone; Shesko; Shia;
      Shibata; Shimon; Siesto; Sigalot; Sigini; Signa; Silverman; Silvetti;
      Sinsabaugh; Sirilli; Sites; Skane; Skerry; Skoda; Sloan; Slowe;
      Smilow; Sniffen; Snodgrass; Socolow; Solon; Somers; Sommariva;
      Sorabella; Sorg; Sottak; Soukup; Soule; Soultanian; Spanier; Sparrow;
      Spaulding; Speizer; Spence; Sperber; Spicer; Spiegelhalter; Spiliotis;
      Spinrad; StMartin; Stalvey; Stam; Stang; Stassinopolus; States;
      Statlender; Stefani; Steiner; Stephanian; Stepniewska; Stewart-Oaten;
      Stiepock; Stillwell; Stock; Stockton; Stockwell; Stolzenberg; Stonich;
      Storer; Stott; Strange; Strauch; Streiff; Stringer; Sullivan; Sumner;
      Suo; Surdam; Sweeting; Sweetser; Swindle; Tagiuri; Tai; Talaugon;
      Tambiah; Tandler; Tanowitz; Tatar; Taveras; Tawn; Tcherepnin; Teague;
      Temes; Temmer; Tenney; Terracini; Than; Thavaneswaran; Theodos;
      Thibault; Thisted; Thomsen; Throop; Tierney; Till; Timmons; Tofallis;
      Tollestrup; Tolls; Tolman; Tomford; Toomer; Topulos; Torresi; Torske;
      Towler; Toye; Traebert; Trenga; Trewin; Tringali; Troiani; Troy;
      Truss; Tsiatis; Tsomides; Tsukurov; Tuck; Tudge; Tukan; Turano; Turek;
      Tuttle; Twells; Tzamarias; Ullman; Untermeyer; Upsdell; Urban;
      Urdang-Brown; Usdan; Uzuner; Vacca; Waite; Valberg; Valencia; Wales;
      Wallenberg; Walter; vanAllen; VanZwet; Vandenberg; Vanheeckeren;
      Warshafsky; Wasowska; Vasquez; Waugh; Weighart; Weingarten; Weinhaus;
      Weissbourd; Weissman; Velasquez; Welles; Welsh; Wengret; Venne;
      Verghese; Wescott; Wetzel; Whately; Whilton; White; Whitla; Whittaker;
      Viana; Viano; Wiedersheim; Wiener; Viens; Vignola; Wilder; Wilhelm;
      Wilk; Wilkin; Wilkinson; Villarreal; Willstatter; Wilson; Vitali;
      Viviani; Voigt; Wolk; VonHoffman; Woo; Wooden; Woods; Woods-Powell;
      Vorhaus; Votey; Yacono; Yamane; Yankee; Yarchuk; Yates; Ybarra;
      Yedidia; Yesson; Yetiv; Yoffe; Yoo; Youk-See; Zachary; Zahedi;
      Zangwill; Zegans; Zerbini; Zoldak; Zucconi; Zurn; Zwiers; Zytowski

– El siguiente listado de contraseñas:
   • 111; 123; 222; 321; 333; 333; 444; 888; 1234; 2003; 2004; 2005; 2600;
      4321; 4444; 12345; 54321; 123456; 654321; 1234567; 7654321; 7777777;
      12345678; 87654321; 88888888; 123456789; 987654321; 1234567890;
      2005xp; 2005XP; aaa; aaaa; abc; abc123; abcd; access; accounting;
      accounts; acer; Acer; ACER; adm; ADM; admin; admin; Admin; ADMIN;
      admin1; admin12; admin123; administrador; administrador;
      Administrador; ADMINISTRADOR; administrat; administrat; Administrat;
      ADMINISTRAT; administrateur; administrateur; Administrateur;
      ADMINISTRATEUR; administrator; administrator; Administrator;
      ADMINISTRATOR; admins; admins; Admins; ADMINS; alex; asd; asus; ASUS;
      backup; benq; benq; Benq; BENQ; bill; bitch; blank; bob; bob; brian;
      change; change; changeme; chris; cigar; cigar; Cigar; CIGAR; cisco;
      compaq; computer; control; creative; Creative; CREATIVE; data;
      database; database; databasepass; databasepassword; db1; db1234; db2;
      db2; dba; dbpass; dbpassword; default; default; dell; demo; domain;
      domainpass; domainpassword; eric; exchange; fred; fuck; Fuckyou;
      george; god; guest; guest; HANKOOK; hell; hello; home; homeuser; ian;
      ibm; IBM; ibm; icc; icc; internet; internet; intranet; java; jen; joe;
      john; kate; katie; lan; lee; linux; login; loginpass; luke; mail;
      main; mary; mike; neil; nissan; nissan; Nissan; NISSAN; nokia; none;
      null; oainstall; oem; oeminstall; oemuser; office; oracle; oracle;
      orainstall; orang; ORANG; outlook; owner; pass; pass1234; passwd;
      password; password1; pervert; peter; peter; private; pwd; qaz; qwe;
      qwerty; root; root; sam; samsung; Samsung; SAMSUNG; server; server;
      service; sex; siemens; slut; sony; sony; Sony; SONY; sql; sqlpass;
      staff; staff; student; student; sue; susan; system; teacher; teacher;
      technical; test; toshba; TOSHBA; toyota; toyota; Toyota; TOYOTA; unix;
      user; user; web; win2000; WIN2005; windows; winpass; winxp; WINXP;
      www; wwwadmin; xp2005; XP2005; xxx; zhou; zxc



Exploit:
Emplea las siguientes brechas de seguridad:
– MS01-059 (Unchecked Buffer in Universal Plug and Play)
– MS02-018 (Parche para Internet Information Service)
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– VX05-006 (Remote Heap Overflow al utilizar VERITAS Backup Exec Admin Plus Pack Option)
– Puerta trasera Bagle (puerto 2745)
– Puerta trasera Kuang (puerto 17300)
– Puerta trasera Mydoom (puerto 3127)
– Puerta trasera NetDevil (puerto 903)
– Puerta trasera Optix (puerto 3140)
– Puerta trasera SubSeven (puerto 27347)
– Administración remota DameWare (puerto 6129)


Creación de direcciones IP:
Crea direcciones IP aleatorias y guarda los primeros dos octetos de su propia dirección. Luego intenta establecer una conexión con las direcciones generadas.


Proceso de infección:
Crea un script TFTP o FTP en el equipo afectado para descargar el programa viral en un sistema remoto.


Ejecución remota:
–Intenta programar una ejecución remota del programa viral, en la máquina recién infectada. Por eso emplea la función NetScheduleJobAdd.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: normal.ser**********
Puerto: 7000
Canal: #c
Apodo: ER-%serie de caracteres aleatorios%
Contraseña: cpass.



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Contraseñas guardadas
    • Captura de pantalla
    • Captura de imagen de la webcam
    • Direcciones de correo electrónico recopiladas
    • Velocidad del procesador
    • Usuario actual
    • Informaciones acerca de los controladores de dispositivos
    • Espacio libre en el disco
    • Memoria disponible
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de la red
    • ID de la plataforma
    • Informaciones acerca de los procesos del sistema
    • Tamaño de la memoria
    • Carpeta de sistema
    • Nombre de usuario
    • Carpeta Windows
    • Informaciones acerca del sistema operativo Windows


– Además puede efectuar las siguientes operaciones:
    • Iniciar ataques DDoS por desbordamiento de ICMP
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Iniciar ataques DDoS por desbordamiento de TCP
    • Iniciar ataques DDoS por desbordamiento de UDP
    • Desactivar DCOM
    • Desactivar la opción de compartir recursos en la red
    • desconectarse del servidor IRC
    • Descargar fichero
    • Editar el registro del sistema
    • Activar DCOM
    • Activar la opción para compartir recursos en la red
    • Ejecutar fichero
    • Ingresar a un canal IRC
    • Terminar proceso
    • Salir del canal IRC
    • Abrir remote shell
    • Ejecutar ataque DDoS
    • Realizar un análisis de la red
    • Redirigir puertos
    • Registrar un servicio
    • Reiniciar sistema
    • Enviar mensajes de correo
    • Apagar sistema
    • Iniciar la captura de pulsaciones de teclado
    • Iniciar la rutina de propagación
    • Terminar proceso
    • Se actualiza solo
    • Cargar fichero en Internet
    • Visitar un sitio web

 Robo de informaciones Intenta robar las siguientes informaciones:
– Windows Product ID

– Las siguientes claves de CD:
   • Battlefield 1942; Battlefield 1942 (Road To Rome); Battlefield 1942
      (Secret Weapons of WWII); Battlefield Vietnam; Black and White;
      Command & Conquer Generals; Command and Conquer: Generals (Zero Hour);
      Command and Conquer: Red Alert 2; Command and Conquer: Tiberian Sun;
      Counter-Strike (Retail); Chrome; FIFA 2002; FIFA 2003; Freedom Force;
      Global Operations; Gunman Chronicles; Half-Life; Hidden & Dangerous 2;
      IGI 2: Covert Strike; Industry Giant 2; James Bond 007: Nightfire;
      Legends of Might and Magic; Medal of Honor: Allied Assault; Medal of
      Honor: Allied Assault: Breakthrough; Medal of Honor: Allied Assault:
      Spearhead; Nascar Racing 2002; Nascar Racing 2003; Need For Speed Hot
      Pursuit 2; Need For Speed: Underground; Neverwinter Nights;
      Neverwinter Nights (Hordes of the Underdark); Neverwinter Nights
      (Shadows of Undrentide); NHL 2003; NHL 2002; NOX; Rainbow Six III
      RavenShield; Shogun: Total War: Warlord Edition; Soldier of Fortune II
      - Double Helix; Soldiers Of Anarchy; The Gladiators; Unreal Tournament
      2003; Unreal Tournament 2004

– Monitoriza la red mediante un sniffer y busca las siguientes series de caracteres:
   • :.login; :,login; :!login; :@login; :$login; :%login; :^login;
      :*login; :-login; :+login; :/login; :\login; :=login; :?login;
      :'login; :`login; :~login; : login; :.auth; :,auth; :!auth; :@auth;
      :$auth; :%auth; :^auth; :&auth; :*auth; :-auth; :+auth; :/auth;
      :\auth; :=auth; :?auth; :'auth; :`auth; :~auth; : auth; :.id; :,id;
      :!id; :@id; :$id; :%id; :^id; :&id; :*id; :-id; :+id; :/id; :\id;
      :=id; :?id; :'id; :`id; :~id; : id; :.hashin; :!hashin; :$hashin;
      :%hashin; :.secure; :!secure; :.l; :!l; :$l; :%l; :.x; :!x; :$x; :%x;
      :.syn; :!syn; :$syn; :%syn
    • Pulsaciones de teclado

 Informaciones diversas Crea el siguiente objeto mutex:
   • a3co1o

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Irina Boldea el martes, 26 de septiembre de 2006
Descripción actualizada por Irina Boldea el martes, 26 de septiembre de 2006

Volver . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Todos los derechos reservados.

Mi Cuenta

https:// Esta ventana está cifrada para su seguridad.