En el Primer Informe del CERT para PYMES y Ciudadanos de Inteco emitido por Hispasec en el dia de hoy, se alerta de la peligrosidad de este nuevo virus, que es un gusano. Os dejo la información:
Nombre completo: Worm.W32/Blazebot@P2P
Tipo virus: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Peligrosidad.....: Media ******
Difusión............: Baja ***
Daño.................: Alto ********
Dispersibilidad : Alto *********
Descripción general
Gusano que se propaga por redes de compartición de archivos P2P, utilizando nombres de conocidas aplicaciones. Una vez que infecta un ordenador, realiza gran cantidad de modificaciones en el registro de Windows, entre ellas para impedir la restauración del sistema e imposibilitar el acceso al Editor del Registro y al Intérprete de Comandos.
Crea entradas del registro, para reducir la seguridad del ordenador y dificultar su eliminación. Entre otras acciones deshabilita la restauración del sistema, para que no se pueda volver a un punto de restauración anterior. También impide la edición del registro y el acceso al intérprete de comandos.
Tiene funcionalidades de puerta trasera, abre el puerto 15433, y se mantiene a la escucha de recibir instrucciones. Un atacante remoto puede realizar las siguientes actividades en el ordenador víctima:
Accede a la siguiente dirección de Internet:
http://{-Eliminado-}ftwareshouse.com/clown/load.exe
Para descargar un fichero que guarda en la siguiente dirección y posteriormente ejecutarlo:
%UserProfile%\Application Data\WinNT\winlogon.exe
Una vez que se ha ejecutado, se elimina a sí mismo.
Método de Propagación
Se propaga por redes P2P. Localiza las carpetas de compartición de los siguientes programas P2P:
* BearShare
* eMule
* IMesh
* Kazaa
* Shareaza
Guarda copias de sí mismo en estas carpetas, con los siguientes nombres de ficheros. Todos ellos son relativos a conocidos programas:
* Adobe
* ADOBE.ALL.PRODUCTS.KEYGEN
* Adobe.Photoshop.Crack
* Adobe.Photoshop.CS3.Keygen
* Adobe.Photoshop.CS4.KeyGen
* AOL.Hacker.2008
* AOL.Hacker.2009
* Counter-Strike.Source.KEYGEN
* Counter-Strike.Steam.KEYGEN
* Half-Life.2.WORKS-ON-STEAM
* Hotmail.Password.Cracker
* Internet.SpeedUp.Patch
* Kaspersky.2009.Full.Crack
* Kaspersky.ALL.PRODUCTS.KEYGEN
* Kaspersky.ALL.VERSIONS.CRACK
* L4F-Left4Dead-Online-Crack
* Microsoft.Visual.Basic.2008.KEYGEN
* Microsoft.Visual.Basic.6.KEYGEN
* Microsoft.Visual.C++
* Microsoft.Visual.C++.6.KEYGEB
* Microsoft.Visual.Studio.2008.KEYGEN
* Microsoft.Visual.Studio.6.KEYGEN
* MSN.Hacker.2008
* MSN.Hacker.2009
* MSN.Live.Password.Cracker
* Myspace.Hacker.2009.Build1563
* NOD32.Username.And.Password.Generator
* Norton.Anti-Virus.2009.PATCH
* Photoshop.ALL.VERSIONS.KEYGEN
* Photoshop.Crack
* RuneScape.2009.Newest.Exploits
* RuneScape.Gold.Exploit
* Steam.Account.Stealer
* Widnows.Vista.Crack
* Windows.2008.Server.KEYGEN
* Windows.Vista
* Windows.XP.Genuine.Crack
* Windows.XP.Keygen
* WOW.World.Of.Warcraft.Account.Cracker
* YIM.HAcker.2008
* YIM.HAcker.2009
Más información y como limpiarlo a mano en: http://alerta-antivirus.inteco.es/virus/detalle_virus.html?cod=8950
Nombre completo: Worm.W32/Blazebot@P2P
Tipo virus: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Peligrosidad.....: Media ******
Difusión............: Baja ***
Daño.................: Alto ********
Dispersibilidad : Alto *********
Descripción general
Gusano que se propaga por redes de compartición de archivos P2P, utilizando nombres de conocidas aplicaciones. Una vez que infecta un ordenador, realiza gran cantidad de modificaciones en el registro de Windows, entre ellas para impedir la restauración del sistema e imposibilitar el acceso al Editor del Registro y al Intérprete de Comandos.
Crea entradas del registro, para reducir la seguridad del ordenador y dificultar su eliminación. Entre otras acciones deshabilita la restauración del sistema, para que no se pueda volver a un punto de restauración anterior. También impide la edición del registro y el acceso al intérprete de comandos.
Tiene funcionalidades de puerta trasera, abre el puerto 15433, y se mantiene a la escucha de recibir instrucciones. Un atacante remoto puede realizar las siguientes actividades en el ordenador víctima:
- Conectarse a diferentes sitios maliciosos de Internet para descargar ficheros o actualizar la copia del gusano
- Detener la ejecución de determinados hilos
- Obtener información del ordenador infectado
- Utilizar las siguientes aplicaciones de mensajería instantánea para propagarse a sí mismo:
- MSN Messenger
- Yahoo Messenger
Accede a la siguiente dirección de Internet:
http://{-Eliminado-}ftwareshouse.com/clown/load.exe
Para descargar un fichero que guarda en la siguiente dirección y posteriormente ejecutarlo:
%UserProfile%\Application Data\WinNT\winlogon.exe
Una vez que se ha ejecutado, se elimina a sí mismo.
Método de Propagación
Se propaga por redes P2P. Localiza las carpetas de compartición de los siguientes programas P2P:
* BearShare
* eMule
* IMesh
* Kazaa
* Shareaza
Guarda copias de sí mismo en estas carpetas, con los siguientes nombres de ficheros. Todos ellos son relativos a conocidos programas:
* Adobe
* ADOBE.ALL.PRODUCTS.KEYGEN
* Adobe.Photoshop.Crack
* Adobe.Photoshop.CS3.Keygen
* Adobe.Photoshop.CS4.KeyGen
* AOL.Hacker.2008
* AOL.Hacker.2009
* Counter-Strike.Source.KEYGEN
* Counter-Strike.Steam.KEYGEN
* Half-Life.2.WORKS-ON-STEAM
* Hotmail.Password.Cracker
* Internet.SpeedUp.Patch
* Kaspersky.2009.Full.Crack
* Kaspersky.ALL.PRODUCTS.KEYGEN
* Kaspersky.ALL.VERSIONS.CRACK
* L4F-Left4Dead-Online-Crack
* Microsoft.Visual.Basic.2008.KEYGEN
* Microsoft.Visual.Basic.6.KEYGEN
* Microsoft.Visual.C++
* Microsoft.Visual.C++.6.KEYGEB
* Microsoft.Visual.Studio.2008.KEYGEN
* Microsoft.Visual.Studio.6.KEYGEN
* MSN.Hacker.2008
* MSN.Hacker.2009
* MSN.Live.Password.Cracker
* Myspace.Hacker.2009.Build1563
* NOD32.Username.And.Password.Generator
* Norton.Anti-Virus.2009.PATCH
* Photoshop.ALL.VERSIONS.KEYGEN
* Photoshop.Crack
* RuneScape.2009.Newest.Exploits
* RuneScape.Gold.Exploit
* Steam.Account.Stealer
* Widnows.Vista.Crack
* Windows.2008.Server.KEYGEN
* Windows.Vista
* Windows.XP.Genuine.Crack
* Windows.XP.Keygen
* WOW.World.Of.Warcraft.Account.Cracker
* YIM.HAcker.2008
* YIM.HAcker.2009
Más información y como limpiarlo a mano en: http://alerta-antivirus.inteco.es/virus/detalle_virus.html?cod=8950
