Troyano (virus) que deshabilita los antivirus (actualizaciones)
MI ANTIVIRUS ORIGINAL NO SE ACTUALIZA
Les informo que este TROYANO tiene la particularidad de BLOQUEAR LAS ACTUALIZACIONES DE LOS ANTIVIRUS (lo comprobé con el PANDA, KASPERSKY, MCAFEE).
Les comento que compre un antivirus con LICENCIA ORIGINAL (como siempre, solo original....), para una contadora, pero en unas semanas me llamo la contadora diciéndome que el antivirus no se actualiza, y bueno me quede con la duda; y como ella sabe algo de antivirus, que hay versiones de prueba (demo), me hiso la pregunta si era de prueba por lo cual yo le informe de que NO, que era uno original y con licencia de una AÑO, pero este mismo no se actualizaba.
Entonces trate de ver porque no se actualizaba, y entre al amigo GOOGLE y busque información del problema en la pagina de la empresa (fabricante del antivirus) y me di con la sorpresa que la pagina no se mostraba, era como que no tuviese una conexión a Internet, me puse a pensar, y dije, no creo que el servidor de la empresa se halla caído, entonces trate de buscar otra empresa, y de nuevo me seguía como que no tuviese Internet Internet, entonces fui a otra pc a comprobar y me pasaba lo mismo, dentro de mi no creo que las empresas mas importantes de ANTIVIRUS hallan colapsado, en mi ultimo intento fui a comprobar en un DICHOSA MAC e hice lo mismo, busque la pagina de la empresa del antivirus y que creen, funciona normal, entonces, ahí, descubrí a este MUY BUEN PROGRAMADO TROYANO, que deshabilitaba toda actualización y hasta bloqueaba la propia pagina de la empresa.
Bueno aquí les describo su nombre y algunas cosas mas.
Nombre: Bagle.DN Nombre NOD32: Win32/Bagle.DN
Tipo: Caballo de Troya Alias: Bagle.DN, Dropped:Win32.Bagle.EL@mm, Email-Worm.Win32.Bagle.EE, Email-Worm.Win32.Bagle.el, I-Worm.Bagle.el, I-Worm/Bagle, TR/Bagle.DY, TR/Bagle.DY.DLL, Trj/Mitglieder.FP, Troj/BagDl-Fam, Troj/BagleDl-AA, Trojan.Lodav.B, Trojan.Lodear.D, Trojan/Bagle.DY, Trojan/Bagle.DY.DLL, W32.Beagle.CO@mm, W32/Bagle.EL-mm, W32/Bagle.gen, W32/Bagle.GEN@MM, W32/KillAV.CH!tr, W32/Mitglied.NN, W32/Mitglieder.gen, Win32.Bagle.EL@mm, Win32.Fantibag.I, Win32.HLLM.Beagle.38912, Win32/Bagle.DN, Win32/Fantibag.I!DLL!Trojan, Win32/Fantibag.I!Trojan, Win32:Beagle-gen5, Worm.Beagle.El, WORM_BAGLE.BQ
Fecha: 7/nov/05 Plataforma: Windows 32-bit Tamaño: 15,088 bytes Puerto: TCP 80. Caballo de Troya descargado por variantes del Bagle, que intenta desactivar diversos productos antivirus y cortafuegos.
Fue detectado el 7 de noviembre de 2005.
Cuando se ejecuta, crea los siguientes archivos en la carpeta System de Windows:
c:\windows\system32\antiav_exe.exeEl archivo .DLL es inyectado en el proceso de EXPLORER.EXE (la interfase del propio Windows).
c:\windows\system32\antiav_dll.dll
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Crea las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
auto__antiav__key = "c:\windows\system32\antiav_exe.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
auto__antiav__key = "c:\windows\system32\antiav_exe.exe"
Usando el DLL inyectado en el proceso EXPLORER.EXE, el gusano intenta conectarse a diversos sitios de Internet, a través del puerto TCP 80 para descargar otros archivos.
El troyano, intenta desactivar los procesos relacionados con archivos, todos ellos relacionados con programas de seguridad (antivirus y cortafuegos) e intenta borrar todos los archivos del equipo infectado.
Además, impide el acceso a las siguientes direcciones, intentando impedir que los productos antivirus puedan actualizarse:
193 .69 .114 .12
212 .113 .20 .69
213 .219 .245 .4
213 .248 .60 .121
216 .200 .68 .152
62 .146 .66 .181
63 .210 .193 .12
84 .53 .142 .22
84 .53 .142 .6
ad .doubleclick .net
ad .fastclick .net
ads .fastclick .net
antivir .de
anti-virus .by
ar .atwola .com
atdmt .com
avast .com
avira .com
avp .ch
avp .com
avp .ru
awaps .net
banner .fastclick .net
banners .fastclick .net
bitdefender .com
bitdefender .ru
ca .com
clamav .net
clamwin .com
click .atdmt .com
clicks .atdmt .com
customer .symantec .com
database .clamav .net
dispatch .mcafee .com
download .ikarus .at
download .mcafee .com
download .microsoft .com
download25 .avast .com
downloadhosting .core .ignum .cz
downloads .avira .com
downloads .microsoft .com
downloads1 .kaspersky-labs .com
downloads2 .kaspersky-labs .com
downloads3 .kaspersky-labs .com
downloads4 .kaspersky-labs .com
downloads-eu1 .kaspersky-labs .com
downloads-us1 .kaspersky-labs .com
downloads-us2 .kaspersky-labs .com
downloads-us3 .kaspersky-labs .com
drweb .com
drweb .ru
engine .awaps .net
esetsoftware .com
fastclick .net
files .referats .net
f-secure .com
ftp .avp .ch
ftp .downloads2 .kaspersky-labs .com
ftp .f-secure .com
ftp .kasperskylab .ru
ftp .sophos .com
ftpav .ca .com
gin .ba .euroweb .sk
go .microsoft .com
grisoft .com
hbedv .com
ids .kaspersky-labs .com
ikarus-software .at
kaspersky .com
kaspersky .ru
kaspersky-labs .com
liveupdate .symantec .com
liveupdate .symantecliveupdate .com
mast .mcafee .com
mcafee .com
media .fastclick .net
msdn .microsoft .com
msk4 .drweb .com
my-etrust .com
my-etrust .com
nai .com
networkassociates .com
niutwo .norman .no
office .microsoft .com
open .by
pandasoftware .com
phx .corporate-ir .net
rads .mcafee .com
ravantivirus .com
report .bitdefender .com
rs02 .avast .com
rs03 .avast .com
rs06 .avast .com
rs07 .avast .com
rs08 .avast .com
rs10 .avast .com
rs11 .avast .com
rs18 .avast .com
rs18 .avast .com
rs20 .avast .com
rs24 .avast .com
secure .nai .com
securityresponse .symantec .com
service1 .symantec .com
sm01 .avast .com
sm04 .avast .com
sm05 .avast .com
sm09 .avast .com
sm12 .avast .com
sm13 .avast .com
sm14 .avast .com
sm15 .avast .com
sm16 .avast .com
sm17 .avast .com
sm19 .avast .com
sm21 .avast .com
sm22 .avast .com
sm23 .avast .com
sm25 .avast .com
sophos .com
spd .atdmt .com
support .microsoft .com
symantec .com
trendmicro .com
update .symantec .com
updates .symantec .com
updates1 .kaspersky-labs .com
updates2 .kaspersky-labs .com
updates3 .kaspersky-labs .com
updates4 .kaspersky-labs .com
updates5 .kaspersky-labs .com
upgrade .bitdefender .com
us .mcafee .com
vba32 .de
vil .nai .com
viruslist .com
viruslist .ru
windowsupdate .microsoft .com
www .antivir .de
www .anti-virus .by
www .avast .com
www .avira .com
www .avp .ch
www .avp .com
www .avp .ru
www .awaps .net
www .bitdefender .com
www .bitdefender .ru
www .ca .com
www .clamav .net
www .clamwin .com
www .drweb .com
www .fastclick .net
www .f-secure .com
www .grisoft .com
www .hacksoft .com .pe
www .hbedv .com
www .kaspersky .com
www .kaspersky .ru
www .kaspersky-labs .com
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .open .by
www .pandasoftware .com
www .ravantivirus .com
www .sophos .com
www .symantec .com
www .trendmicro .com
www .vba32 .de
www .viruslist .com
www .viruslist .ru
www2 .eset .com
www3 .ca .com
zak .avira .com
Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" .
Fuente: VS ANTIVIRUS y LAFLECHA.NET
No hay comentarios:
Publicar un comentario