Reporte diario de spyware, virus, vulnerabilidades, troyanos, etc. que abundan por internet seran reportados aqui diariamente y mensauelmente se pondran graficas de cuales han sido los malware mas sobresalientes del mes.
Se dividaran en 4 rangos, Bajo, Medio, Alto, Critico
Finalidad: Los usuarios que no tiene firewalls,antivirus,antispyware, etc. Aqui puede consultar si algo les afecta o si el antivirus les reporta algun gusano que no puede ser removido, aqui puede que encuentren el como hacerlo.
saludos .
Full Version: Reporte Diario de Malware
Troj/DNSChan-LZ
Categoria: Trojan
Descubierto: 12 Septiembre 2007
SO afectados: Windows
Riesgo Total:
Alto
Descripción:
Troj/DNSChan-LZ es un trojan para la plataforma de Windows
Como trabaja:
Al principio cuando Troj/DNSChan-LZ corre se copia a si mismo en el sistema "<System>\kdjjz.exe."
El siguiente registro es cambiado para que kdjjz.exe corra al iniciar Windows
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
System
kdjjz.exe
Como remover:
Actualizar tu antivirus
Categoria: Trojan
Descubierto: 12 Septiembre 2007
SO afectados: Windows
Riesgo Total:
Alto
Descripción:
Troj/DNSChan-LZ es un trojan para la plataforma de Windows
Como trabaja:
Al principio cuando Troj/DNSChan-LZ corre se copia a si mismo en el sistema "<System>\kdjjz.exe."
El siguiente registro es cambiado para que kdjjz.exe corra al iniciar Windows
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
System
kdjjz.exe
Como remover:
Actualizar tu antivirus
Bancos AAO
Riesgo total:
Critico
Categoria: Robapassword
Tambien conocido:TrojanSpy:Win32/Bancos [MS Onecare]
Descripcion: Es un variante de un Key Logger que es transmitido por aceptacion de algun programa y este programa viene adjunto con este trojan para asi robar contraseñas.
Archivos:
bancohonda.ex_
surpresa.ex_
voxcards.ex_
windebug9x.exe
windebug9x.exe
Riesgo total:
Critico
Categoria: Robapassword
Tambien conocido:TrojanSpy:Win32/Bancos [MS Onecare]
Descripcion: Es un variante de un Key Logger que es transmitido por aceptacion de algun programa y este programa viene adjunto con este trojan para asi robar contraseñas.
Archivos:
bancohonda.ex_
surpresa.ex_
voxcards.ex_
windebug9x.exe
windebug9x.exe
QQPass H
Riesgo Total: Critico
Tambien Conocido como: Trojan-PSW.Win32.QQPass.mw [Kaspersky], PWS-QQPass [McAfee], Troj/QQPass-ALV [Sophos], W32/PWStealer.BTC [F-Prot]
Categoria: Password Capture/Trojan
Variante de un Keylogger, del cual busca contraseñas como de tarjetas de credito mas que nada.
Remover
Referencias de autoejecucion:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run qq???
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run winsravon
Registros:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run winsravon
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run qq???
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run qq???
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run winsravon
Archivos:
%system%\ravon.exe
%system%\qqspy.exe
autorun.inf
qqspy.exe
%system%\qqspy.exe
%system%\ravon.exe
Riesgo Total: Critico
Tambien Conocido como: Trojan-PSW.Win32.QQPass.mw [Kaspersky], PWS-QQPass [McAfee], Troj/QQPass-ALV [Sophos], W32/PWStealer.BTC [F-Prot]
Categoria: Password Capture/Trojan
Variante de un Keylogger, del cual busca contraseñas como de tarjetas de credito mas que nada.
Remover
Referencias de autoejecucion:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run qq???
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run winsravon
Registros:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run winsravon
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run qq???
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run qq???
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run winsravon
Archivos:
%system%\ravon.exe
%system%\qqspy.exe
autorun.inf
qqspy.exe
%system%\qqspy.exe
%system%\ravon.exe
SillyDl ABB
Riesgo Total: Medio
Tambien conocido:TrojanDownloader:Win32/Tearspear!5932 [CA AV]
Categoria:
Downloader: Es un programa que baja, instala y ejecuta, software sin tu permiso.
Remover
Archivo:
atualize.ex_
Riesgo Total: Medio
Tambien conocido:TrojanDownloader:Win32/Tearspear!5932 [CA AV]
Categoria:
Downloader: Es un programa que baja, instala y ejecuta, software sin tu permiso.
Remover
Archivo:
atualize.ex_
W32/Rbot-GTF
Categoria:Gusano
Tambien conocido :W32/Sdbot.worm.gen.ay,Backdoor.Win32.Rbot.dyx
SO afectados: Windows
Efectos:
Cuando W32/Rbot-GTF corre por primera vez se copia en <System>\wgcptsud.exe.
Las siguientes entradas de registro son creadas para correr wgcptsud.exe en el starup:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Updates
wgcptsud.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Microsoft Updates
wgcptsud.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Microsoft Updates
wgcptsud.exe
Registro de entrada son creadas bajo:
HKCR\.key
Categoria:Gusano
Tambien conocido :W32/Sdbot.worm.gen.ay,Backdoor.Win32.Rbot.dyx
SO afectados: Windows
Efectos:
- Apaga aplicaciones de antivirus
- Da acceso a personas remotas de entrar a tu computador
- Se intala en el registro
Cuando W32/Rbot-GTF corre por primera vez se copia en <System>\wgcptsud.exe.
Las siguientes entradas de registro son creadas para correr wgcptsud.exe en el starup:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Updates
wgcptsud.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Microsoft Updates
wgcptsud.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Microsoft Updates
wgcptsud.exe
Registro de entrada son creadas bajo:
HKCR\.key
W32.Googbot@mm
Riesgo Total: Medio
Categoria: Worm(gusano)
Conocido como:WORM_AGENT.AAWD [Trend], W32 Duce.a@mm [McAfee], Backdoor.W32.GoogBot.A [Kaspersky]
Sistemas Afectados: Windows 2000, Windows 98, Windows Me, Windows NT, Windows Vista, Windows XP
Cuando el gusano se abre, se copia a si mismo en la siguiente locacion:
%System%\sysboot32.exe
Despues, el gusano crea la siguiente entrada de registro para que sea ejecutado cada que Windows inicia:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"System Boot Loader" = "%System%\sysboot32.exe"
El gusano tambien modifica %System%\drivers\etc\hosts agregando las siguientes lineas:
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 update.microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.ahnlab.com
127.0.0.1 suc.ahnlab.com
127.0.0.1 auth.ahnlab.com
127.0.0.1 ahnlab.com
Despues, el gusano se conecta al siguiente dominio en TCP puerto 7001 y despues recibe comandos del atacante remoto:
io.phatnet.biz
El backdoor permite al atacante ejecutar los siguientes comandos:
mailstop
mailstart
threadkillall
threadkill
threadlist
scanstats
scanstop
scanstartall
scanstart
synstop
synstart
update
download
delete
exec
open
uninstall
die
reconnect
netinfo
sysinfo
uptime
lsass
asn
El gusano explota las siguientes vulnerabilidades:
Microsoft ASN.1 Library Multiple Stack-Based Buffer Overflow Vulnerabilities (BID 9743)
Microsoft Windows LSASS Buffer Overrun Vulnerability (BID 10108)
Trend Micro ServerProtect SPNTSVC.EXE Multiple Stack Buffer Overflow Vulnerability (BID 22639)
Despues busca direcciones de email en archivos que tengan las siguientes terminaciones:
.wab
.adb
.tbb
.dbx
.asp
.php
.sht
.htm
.txt
El gusano tambien obtiene direcciones del Microsoft Windows Address Book
Despues el gusano obtiene usuarios del siguiente subllave de registro:
HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts
Los manda a los siguientes dominios:
aol.com
msn.com
yahoo.com
hotmail.com
gmail.com
Subject:
Someone has sent you a Private Message!
You have just recieved a NEW message!
You have (1) NEW messages!
Body:
You have just recieved a new Google Message!
You can view your message here: http://www.google.com/gmsgid=4289472
Note: If you do not already have Google Message Viewer installed, you will be prompted to install it.
REMOVER
Deshabilitar System Restore (Me/XP)
Actualizar Antivirus
Dar un completo scan
Borrar cualquier valor agregado al registro
Riesgo Total: Medio
Categoria: Worm(gusano)
Conocido como:WORM_AGENT.AAWD [Trend], W32 Duce.a@mm [McAfee], Backdoor.W32.GoogBot.A [Kaspersky]
Sistemas Afectados: Windows 2000, Windows 98, Windows Me, Windows NT, Windows Vista, Windows XP
Cuando el gusano se abre, se copia a si mismo en la siguiente locacion:
%System%\sysboot32.exe
Despues, el gusano crea la siguiente entrada de registro para que sea ejecutado cada que Windows inicia:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"System Boot Loader" = "%System%\sysboot32.exe"
El gusano tambien modifica %System%\drivers\etc\hosts agregando las siguientes lineas:
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 update.microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.ahnlab.com
127.0.0.1 suc.ahnlab.com
127.0.0.1 auth.ahnlab.com
127.0.0.1 ahnlab.com
Despues, el gusano se conecta al siguiente dominio en TCP puerto 7001 y despues recibe comandos del atacante remoto:
io.phatnet.biz
El backdoor permite al atacante ejecutar los siguientes comandos:
mailstop
mailstart
threadkillall
threadkill
threadlist
scanstats
scanstop
scanstartall
scanstart
synstop
synstart
update
download
delete
exec
open
uninstall
die
reconnect
netinfo
sysinfo
uptime
lsass
asn
El gusano explota las siguientes vulnerabilidades:
Microsoft ASN.1 Library Multiple Stack-Based Buffer Overflow Vulnerabilities (BID 9743)
Microsoft Windows LSASS Buffer Overrun Vulnerability (BID 10108)
Trend Micro ServerProtect SPNTSVC.EXE Multiple Stack Buffer Overflow Vulnerability (BID 22639)
Despues busca direcciones de email en archivos que tengan las siguientes terminaciones:
.wab
.adb
.tbb
.dbx
.asp
.php
.sht
.htm
.txt
El gusano tambien obtiene direcciones del Microsoft Windows Address Book
Despues el gusano obtiene usuarios del siguiente subllave de registro:
HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts
Los manda a los siguientes dominios:
aol.com
msn.com
yahoo.com
hotmail.com
gmail.com
Subject:
Someone has sent you a Private Message!
You have just recieved a NEW message!
You have (1) NEW messages!
Body:
You have just recieved a new Google Message!
You can view your message here: http://www.google.com/gmsgid=4289472
Note: If you do not already have Google Message Viewer installed, you will be prompted to install it.
REMOVER
Deshabilitar System Restore (Me/XP)
Actualizar Antivirus
Dar un completo scan
Borrar cualquier valor agregado al registro
Family Cyber Alert
Riesgo Total: Critico
Categoria: Keylogger
El keylogger buska contraseñas y se las manda al atacante remoto para que tenga acceso a estas cuentas y asi poder entrar por ejemplo al correo electronico etc.
REMOVER
Referencias Autorun:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run familycyberalert
Archivos DLL:
%system%\fcyberalert\tmhide.dll
%system%\fcyberalert\infoutil.dll
%system%\fcyberalert\infokbl.dll
%system%\fcyberalert\bmp2jpg.dll
%system%\fcyberalert\bszip.dll
Registros:
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmctrlkeys
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmctrlkeys chkdonotshowinfuture
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions chkadvancedisable
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions chkdisableadvance
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions chkdisablefeature
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions chkfilesrecordingdisable
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions chkmessengerrecordingdisable
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions chkrecordingdisable
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions chksnapshotstimedisable
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions cmdrecoveruninstallinformation
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions cmdremoveuninstallinformation
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions deletesnapshots
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions hotkeyoption
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions optcaptureallkeys
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions optcaptureasciikeys
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions optshowtipoftheday
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions sldjpegsaveoption
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions snapshotstime
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions txtarchivelocation
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions txtbufferoutputinfile
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions txtdiskspaced
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions txtupdatesnapshots
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmshutdownspyware optionvalue
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\wizardsetting runnedwizard
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run familycyberalert
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run familycyberalert
Archivos:
esnsupport.exe
%system%\fcyberalert\bmp2jpg.dll
falert.exe
syslogin.exe
tmhide.dll
uninspc.exe
%system%\fcyberalert\esnsupport.exe
%system%\fcyberalert\help.htm
%system%\fcyberalert\infokbl
%system%\fcyberalert\bszip.dll
%system%\fcyberalert\errorlogfile.txt
%system%\fcyberalert\infokbl.dll
%system%\fcyberalert\infokbl.ini
%system%\fcyberalert\infoutil.dll
%system%\fcyberalert\license.txt
%system%\fcyberalert\parentscyberalertwindow.htm
%system%\fcyberalert\pcl.gif
%system%\fcyberalert\readme.rtf
%system%\fcyberalert\setacl.exe
%system%\fcyberalert\syslogin.exe
%system%\fcyberalert\tmhide
%system%\fcyberalert\tmhide.dll
%system%\fcyberalert\tmhide.ini
%system%\fcyberalert\unins000.dat
%system%\fcyberalert\unins000.exe
%system%\fcyberalert\uninspc.exe
%system%\fcyberalert\tmhide.dll
%system%\fcyberalert\infoutil.dll
%system%\fcyberalert\infokbl.dll
%system%\fcyberalert\bmp2jpg.dll
%system%\fcyberalert\bszip.dll
falert.exe
%system%\fcyberalert\esnsupport.exe
%system%\fcyberalert\syslogin.exe
%system%\fcyberalert\setacl.exe
%system%\fcyberalert\uninspc.exe
%system%\fcyberalert\unins000.exe
Directorios:
%system%\fcyberalert
%system%\fcyberalert\recorded
Riesgo Total: Critico
Categoria: Keylogger
El keylogger buska contraseñas y se las manda al atacante remoto para que tenga acceso a estas cuentas y asi poder entrar por ejemplo al correo electronico etc.
REMOVER
Referencias Autorun:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run familycyberalert
Archivos DLL:
%system%\fcyberalert\tmhide.dll
%system%\fcyberalert\infoutil.dll
%system%\fcyberalert\infokbl.dll
%system%\fcyberalert\bmp2jpg.dll
%system%\fcyberalert\bszip.dll
Registros:
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmctrlkeys
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmctrlkeys chkdonotshowinfuture
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions chkadvancedisable
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions chkdisableadvance
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions chkdisablefeature
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions chkfilesrecordingdisable
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions chkmessengerrecordingdisable
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions chkrecordingdisable
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions chksnapshotstimedisable
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions cmdrecoveruninstallinformation
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions cmdremoveuninstallinformation
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions deletesnapshots
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions hotkeyoption
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions optcaptureallkeys
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions optcaptureasciikeys
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions optshowtipoftheday
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions sldjpegsaveoption
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions snapshotstime
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions txtarchivelocation
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions txtbufferoutputinfile
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions txtdiskspaced
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmoptions txtupdatesnapshots
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\frmshutdownspyware optionvalue
HKEY_LOCAL_MACHINE\software\infoworks technology\family cyber alert\wizardsetting runnedwizard
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run familycyberalert
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run familycyberalert
Archivos:
esnsupport.exe
%system%\fcyberalert\bmp2jpg.dll
falert.exe
syslogin.exe
tmhide.dll
uninspc.exe
%system%\fcyberalert\esnsupport.exe
%system%\fcyberalert\help.htm
%system%\fcyberalert\infokbl
%system%\fcyberalert\bszip.dll
%system%\fcyberalert\errorlogfile.txt
%system%\fcyberalert\infokbl.dll
%system%\fcyberalert\infokbl.ini
%system%\fcyberalert\infoutil.dll
%system%\fcyberalert\license.txt
%system%\fcyberalert\parentscyberalertwindow.htm
%system%\fcyberalert\pcl.gif
%system%\fcyberalert\readme.rtf
%system%\fcyberalert\setacl.exe
%system%\fcyberalert\syslogin.exe
%system%\fcyberalert\tmhide
%system%\fcyberalert\tmhide.dll
%system%\fcyberalert\tmhide.ini
%system%\fcyberalert\unins000.dat
%system%\fcyberalert\unins000.exe
%system%\fcyberalert\uninspc.exe
%system%\fcyberalert\tmhide.dll
%system%\fcyberalert\infoutil.dll
%system%\fcyberalert\infokbl.dll
%system%\fcyberalert\bmp2jpg.dll
%system%\fcyberalert\bszip.dll
falert.exe
%system%\fcyberalert\esnsupport.exe
%system%\fcyberalert\syslogin.exe
%system%\fcyberalert\setacl.exe
%system%\fcyberalert\uninspc.exe
%system%\fcyberalert\unins000.exe
Directorios:
%system%\fcyberalert
%system%\fcyberalert\recorded
Nuvens AD
Riesgo Total: Alto
Categoria: Trojan
Info: Este trojan lo puedes obtener en los chatrooms y su objetivo es obtener claves por ejemplo en los logins de email, cuentas bancarias etc etc.
Archivos:
http__dbxcompany.com_download.phpid=711_
http__dbxcompany.com_download.phpid=712_
http__dbxcompany.com_download.phpid=713_
Riesgo Total: Alto
Categoria: Trojan
Info: Este trojan lo puedes obtener en los chatrooms y su objetivo es obtener claves por ejemplo en los logins de email, cuentas bancarias etc etc.
Archivos:
http__dbxcompany.com_download.phpid=711_
http__dbxcompany.com_download.phpid=712_
http__dbxcompany.com_download.phpid=713_
Lineage ABQ
Riesgo Total: Critico
Tambien conocido como: Win32/Lineage.ABQ [CA AV], PWS-Lineage.dll [McAfee], W32/OnlineGames.gen21 [NORMAN]
Categoria: Capturador de contraseñas
Archivos Dll:
dlyy.dll
Archivos:
01.exe
commond.pif
dlyy.dll
dlyy.dll
01.exe
Riesgo Total: Critico
Tambien conocido como: Win32/Lineage.ABQ [CA AV], PWS-Lineage.dll [McAfee], W32/OnlineGames.gen21 [NORMAN]
Categoria: Capturador de contraseñas
Archivos Dll:
dlyy.dll
Archivos:
01.exe
commond.pif
dlyy.dll
dlyy.dll
01.exe
CVE-2007-5020
Riesgo total: Alto
Categoria: Exploit
Tambien conocido como:CA-AV] PDF/CVE-2007-5020
[Kaspersky] Exploit.Win32.AdeobeReader.b
[McAfee] Exploit-PDF
[MS OneCare] Exploit:Win32/RdrJmp.A
[F-Prot] PDF-Expl.B
[Norman] PDF/Pidief.A
[TREND] EXPL_PIDIEF.B [Sophos] Troj/PDFex-A
Es un exploit para archivos PDF
Es un software para obtener ventaja sobre vulnerabilidades
Archivos:
pdfex-a.000
Riesgo total: Alto
Categoria: Exploit
Tambien conocido como:CA-AV] PDF/CVE-2007-5020
[Kaspersky] Exploit.Win32.AdeobeReader.b
[McAfee] Exploit-PDF
[MS OneCare] Exploit:Win32/RdrJmp.A
[F-Prot] PDF-Expl.B
[Norman] PDF/Pidief.A
[TREND] EXPL_PIDIEF.B [Sophos] Troj/PDFex-A
Es un exploit para archivos PDF
Es un software para obtener ventaja sobre vulnerabilidades
Archivos:
pdfex-a.000
Kollah A1
Riesgo Total: Critico
Categoria: Backdoor & Trojan
Tambien conocido:Packed.Win32.Tibs.dc [Kaspersky], Infostealer.Banker.C [Symantec], PWS-Banker [McAfee], Trojan:Win32/Banker [MS OneCare], W32/Banker.AEMT [F-Prot], W32/Banker.BKXP [NORMAN], TSPY_AGENT.POA [TREND], Troj/Banker-EED [Sophos], Trojan-Spy.Win32.Banker.cmb [CounterSpy]
Archivos:
bank-edd.exe
ntos.exe
ntos.exe
bank-edd.exe
Riesgo Total: Critico
Categoria: Backdoor & Trojan
Tambien conocido:Packed.Win32.Tibs.dc [Kaspersky], Infostealer.Banker.C [Symantec], PWS-Banker [McAfee], Trojan:Win32/Banker [MS OneCare], W32/Banker.AEMT [F-Prot], W32/Banker.BKXP [NORMAN], TSPY_AGENT.POA [TREND], Troj/Banker-EED [Sophos], Trojan-Spy.Win32.Banker.cmb [CounterSpy]
Archivos:
bank-edd.exe
ntos.exe
ntos.exe
bank-edd.exe
MondayLot A
Riesgo total: Critico
Categoria: Backdoor
Tambien conocido como:HackTool.Win2.Agent.ar [Kaspersky], Backdoor-APX [McAfee], Backdoor.trojan [CounterSpy], Win32/MondayLot.A [VET]
Es un documento secreto que se infiltra en el sistema despues de haber bajado algun programa, con el cual el atacante puede modificar el programa, o explotar una vulnerabilidad del ordenador.
Remover
Archivos:
icmd.exe
icmd.exe
Riesgo total: Critico
Categoria: Backdoor
Tambien conocido como:HackTool.Win2.Agent.ar [Kaspersky], Backdoor-APX [McAfee], Backdoor.trojan [CounterSpy], Win32/MondayLot.A [VET]
Es un documento secreto que se infiltra en el sistema despues de haber bajado algun programa, con el cual el atacante puede modificar el programa, o explotar una vulnerabilidad del ordenador.
Remover
Archivos:
icmd.exe
icmd.exe
Deus Cleaner
Tipo: Aplicacion Molesta
Nombre: DeusCleaner
Version: 1.0.1.11
Riesgo: Medium
Sistemas Afectados: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
El programa te dice que tienes spyware y que te limpiara del todo y te indica lo siguiente para que caigas:
Despues te dice que tu computadora sera limpiada:
Cuando tu aceptas instalarlo el programa se copia en lo siguiente:
%UserProfile%\Application Data\Deus Cleaner
%ProgramFiles%\Deus Cleaner\Languages
Y crea los siguientes archivos:
C:\Documents and Settings\All Users\Desktop\Deus Cleaner.lnk
%Program\Deus Cleaner\Deus Cleaner Help.lnk
%Program\Deus Cleaner\Deus Cleaner.lnk
%Program\Deus Cleaner\Uninstall Deus Cleaner.lnk
%ProgramFiles%\Deus Cleaner\config\DBInfo.ver
%ProgramFiles%\Deus Cleaner\config\FireFoxCache.set
%ProgramFiles%\Deus Cleaner\config\FireFoxCookie.set
%ProgramFiles%\Deus Cleaner\config\FireFoxHistory.set
%ProgramFiles%\Deus Cleaner\config\IE Cache.set
%ProgramFiles%\Deus Cleaner\config\IE Cookie.set
%ProgramFiles%\Deus Cleaner\config\IE History.set
%ProgramFiles%\Deus Cleaner\config\OfficeTmpFiles.set
%ProgramFiles%\Deus Cleaner\config\Opera Cache.set
%ProgramFiles%\Deus Cleaner\config\Opera Cookie.set
%ProgramFiles%\Deus Cleaner\config\Opera Download.set
%ProgramFiles%\Deus Cleaner\config\Opera List.set
%ProgramFiles%\Deus Cleaner\config\Recycle.set
%ProgramFiles%\Deus Cleaner\config\StBakupFiles.set
%ProgramFiles%\Deus Cleaner\config\TmpFiles.set
%ProgramFiles%\Deus Cleaner\config\WinClipBoard.set
%ProgramFiles%\Deus Cleaner\config\WinPreftech.set
%ProgramFiles%\Deus Cleaner\config\WinRecent.set
%ProgramFiles%\Deus Cleaner\config\WinRunHistory.set
%ProgramFiles%\Deus Cleaner\config\WinTmp.set
%ProgramFiles%\Deus Cleaner\config\WinUpdate.set
%ProgramFiles%\Deus Cleaner\DCleaner.exe
%ProgramFiles%\Deus Cleaner\DCUpdate.exe
%ProgramFiles%\Deus Cleaner\Help\DCHelpEng.chm
%ProgramFiles%\Deus Cleaner\scan.log
%ProgramFiles%\Deus Cleaner\SDmodul.dll
%ProgramFiles%\Deus Cleaner\unins000.dat
%ProgramFiles%\Deus Cleaner\unins000.exe
%ProgramFiles%\Deus Cleaner\working.log
Despues crea un registro que cuando entres a windows abre los siguiente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Deus Cleaner" = ""C:\Program Files\Deus Cleaner\DCleaner.exe" /s"
Y tambien crea los siguientes subregistros:
HKEY_CURRENT_USER\Software\Deus Cleaner
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Deus Cleaner
HKEY_CLASSES_ROOT\CLSID\{F3175B35-99CE-4297-A7E1-292562DD7AF3}
HKEY_CLASSES_ROOT\Deus Cleaner
HKEY_CLASSES_ROOT\Directory\shellex\ContextMenuHandlers\Deus Cleaner
HKEY_CLASSES_ROOT\SDmodul.Secure Delete with Deus Cleaner
HKEY_LOCAL_MACHINE\SOFTWARE\Deus Cleaner
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Deus Cleaner_is1
Para la solucion:
http://foros.hackerss.com/t7363/spyware-deus-cleaner
Tipo: Aplicacion Molesta
Nombre: DeusCleaner
Version: 1.0.1.11
Riesgo: Medium
Sistemas Afectados: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
El programa te dice que tienes spyware y que te limpiara del todo y te indica lo siguiente para que caigas:
Despues te dice que tu computadora sera limpiada:
Cuando tu aceptas instalarlo el programa se copia en lo siguiente:
%UserProfile%\Application Data\Deus Cleaner
%ProgramFiles%\Deus Cleaner\Languages
Y crea los siguientes archivos:
C:\Documents and Settings\All Users\Desktop\Deus Cleaner.lnk
%Program\Deus Cleaner\Deus Cleaner Help.lnk
%Program\Deus Cleaner\Deus Cleaner.lnk
%Program\Deus Cleaner\Uninstall Deus Cleaner.lnk
%ProgramFiles%\Deus Cleaner\config\DBInfo.ver
%ProgramFiles%\Deus Cleaner\config\FireFoxCache.set
%ProgramFiles%\Deus Cleaner\config\FireFoxCookie.set
%ProgramFiles%\Deus Cleaner\config\FireFoxHistory.set
%ProgramFiles%\Deus Cleaner\config\IE Cache.set
%ProgramFiles%\Deus Cleaner\config\IE Cookie.set
%ProgramFiles%\Deus Cleaner\config\IE History.set
%ProgramFiles%\Deus Cleaner\config\OfficeTmpFiles.set
%ProgramFiles%\Deus Cleaner\config\Opera Cache.set
%ProgramFiles%\Deus Cleaner\config\Opera Cookie.set
%ProgramFiles%\Deus Cleaner\config\Opera Download.set
%ProgramFiles%\Deus Cleaner\config\Opera List.set
%ProgramFiles%\Deus Cleaner\config\Recycle.set
%ProgramFiles%\Deus Cleaner\config\StBakupFiles.set
%ProgramFiles%\Deus Cleaner\config\TmpFiles.set
%ProgramFiles%\Deus Cleaner\config\WinClipBoard.set
%ProgramFiles%\Deus Cleaner\config\WinPreftech.set
%ProgramFiles%\Deus Cleaner\config\WinRecent.set
%ProgramFiles%\Deus Cleaner\config\WinRunHistory.set
%ProgramFiles%\Deus Cleaner\config\WinTmp.set
%ProgramFiles%\Deus Cleaner\config\WinUpdate.set
%ProgramFiles%\Deus Cleaner\DCleaner.exe
%ProgramFiles%\Deus Cleaner\DCUpdate.exe
%ProgramFiles%\Deus Cleaner\Help\DCHelpEng.chm
%ProgramFiles%\Deus Cleaner\scan.log
%ProgramFiles%\Deus Cleaner\SDmodul.dll
%ProgramFiles%\Deus Cleaner\unins000.dat
%ProgramFiles%\Deus Cleaner\unins000.exe
%ProgramFiles%\Deus Cleaner\working.log
Despues crea un registro que cuando entres a windows abre los siguiente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Deus Cleaner" = ""C:\Program Files\Deus Cleaner\DCleaner.exe" /s"
Y tambien crea los siguientes subregistros:
HKEY_CURRENT_USER\Software\Deus Cleaner
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Deus Cleaner
HKEY_CLASSES_ROOT\CLSID\{F3175B35-99CE-4297-A7E1-292562DD7AF3}
HKEY_CLASSES_ROOT\Deus Cleaner
HKEY_CLASSES_ROOT\Directory\shellex\ContextMenuHandlers\Deus Cleaner
HKEY_CLASSES_ROOT\SDmodul.Secure Delete with Deus Cleaner
HKEY_LOCAL_MACHINE\SOFTWARE\Deus Cleaner
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Deus Cleaner_is1
Para la solucion:
http://foros.hackerss.com/t7363/spyware-deus-cleaner
Lemir SA
June 9, 2008
Riesgo Total: CRITICO
Caracteristicas:
Categoria: Capturador de Contraseñas
Tambien conocido: Lemir, PWS:Win32/OnLineGame.gen!B [MS Onecare], Infostealer.Gampass [Symantec]
Categoria: Es una variante del Keylogger que captura contraseñas que son introducidas o transmitidas
Remover
Archivos DLL:
%system%\mndhcdwd.dll
Registro:
HKEY_CLASSES_ROOT\clsid\{3c648541-1025-9650-9057-6541258720c3}
HKEY_CLASSES_ROOT\clsid\{3c648541-1025-9650-9057-6541258720c3}\inprocserver32
HKEY_CLASSES_ROOT\clsid\{3c648541-1025-9650-9057-6541258720c3}\inprocserver32 threadingmodel
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{3c648541-1025-9650-9057-6541258720c3}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks {3c648541-1025-9650-9057-6541258720c3}
Archivos:
mndhcdwd.dll
pldhadwd.exe
%system%\gsdhadwd.sys
%system%\mndhcdwd.dll
%system%\pldhadwd.exe
%system%\mndhcdwd.dll
%system%\pldhadwd.exe
Ciadoor Q
Riesgo Total: Critico
Privacidad: Alto
Categoria: Backdoor
Tambien conocido:Backdoor.Trojan [Symantec], Win32/Ciadoor.Q [CA AV], Spy-Agent.cj.gen.h [McAfee]
Backdoor:Es un indocumentado que trata de entrar en el sistema de una computadora, o software que trata de entrar en un sistema. Algunos software contienen backdoor puesto por el programador que le permite accesar al programa para hacer cambios.Todo software que es clasificado como "backdoor" es diseñado para explotar una vulnerabilidad de un sistema y abrir en un futuro acceso a un atacante.
Origen: Julio,2008
Remover
Detectable: Si
Archivos ejecutables: Si
Archivos:
windows validation crack.exe
windows validation crack.exe
Riesgo Total: Critico
Privacidad: Alto
Categoria: Backdoor
Tambien conocido:Backdoor.Trojan [Symantec], Win32/Ciadoor.Q [CA AV], Spy-Agent.cj.gen.h [McAfee]
Backdoor:Es un indocumentado que trata de entrar en el sistema de una computadora, o software que trata de entrar en un sistema. Algunos software contienen backdoor puesto por el programador que le permite accesar al programa para hacer cambios.Todo software que es clasificado como "backdoor" es diseñado para explotar una vulnerabilidad de un sistema y abrir en un futuro acceso a un atacante.
Origen: Julio,2008
Remover
Detectable: Si
Archivos ejecutables: Si
Archivos:
windows validation crack.exe
windows validation crack.exe
Backdoor ISC
Privacidad: Alta
Riesgo Total: Critico
Categoria Backdoor
Cualquier software que esta catalogado como "backdoor" esta diseñado para explotar una vulnerabilidad de un sistema, y en un futuro dar acceso al atacante.
Fecha de origen: Agosto 2008
Remover:
Archivos:
w32backdoor-isc.exe
w32backdoor-isc.exe
Rustock BH
Integridad del Sistema: Critico
Riesgo Total: Critico
Categoria: Rootkit
Rootkit: Rootkit es basicamente un pedazo de software, usualmente una pequeña apliccaciones o codigo cuyo proposito primario es ocultarse del usuario u otras aplicaciones. Originalmente los rootkits son creados ya sea para obtener raiz, o tener el privilegio de un superuser en el sistema de una computadora ya sea en ocultar elementos como, archivos, y conecciones de red.Con el advenimiento de nuevo spyware,rootkits son diseñados para ocultar elementos ya mencionados con el especifico intento de mantener un residente que captura informacion personal o performa otra actividades malicias.
Origen: Agosto 2008
Detectable:Si
Archivos ejecutables: Si
Como remover: detectable con CA Antispyware V9
Lineage AUU
Riesgo Total: Critico
Categoria: Capturador de contraseñas
Tambien conocido como: Trojan-GameThief.Win32.OnLineGames.slto [Kaspersky], PWS:Win32/OnLineGames.ZDN [MS Onecare], Mal/Dropper-AB [Sophos], W32/Malware [NORMAN], PWS-Mmorpg.gen [McAfee]
Descripcion
Password Capture: Una variante del Key Logger que captura contraseñas.
Trojan: Cualquier programa con intento de esconderse. Los Trojans o Trojanos son uno de los principales problemas de rupturas en maquinas.Si bajas algun programa de algun chat room, grupo nuevo o inclusive un email no solicitado, corres el riesgo de infectarte de un trojan.
Fecha de Origen: Septiembre 2008
Remover
Detectable: Si
Archivos ejecutables: Si
Archivos DLLS:
%system%\hfdf0810.dll
Registry:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run aaaa
Archivos:
hfdf0810.dll
hfdf0810.exe
%system%\hfdf0810.dll
%system%\hfdf0810.exe
%system%\hfdf0810.dll
%system%\hfdf0810.exe
Riesgo Total: Critico
Categoria: Capturador de contraseñas
Tambien conocido como: Trojan-GameThief.Win32.OnLineGames.slto [Kaspersky], PWS:Win32/OnLineGames.ZDN [MS Onecare], Mal/Dropper-AB [Sophos], W32/Malware [NORMAN], PWS-Mmorpg.gen [McAfee]
Descripcion
Password Capture: Una variante del Key Logger que captura contraseñas.
Trojan: Cualquier programa con intento de esconderse. Los Trojans o Trojanos son uno de los principales problemas de rupturas en maquinas.Si bajas algun programa de algun chat room, grupo nuevo o inclusive un email no solicitado, corres el riesgo de infectarte de un trojan.
Fecha de Origen: Septiembre 2008
Remover
Detectable: Si
Archivos ejecutables: Si
Archivos DLLS:
%system%\hfdf0810.dll
Registry:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run aaaa
Archivos:
hfdf0810.dll
hfdf0810.exe
%system%\hfdf0810.dll
%system%\hfdf0810.exe
%system%\hfdf0810.dll
%system%\hfdf0810.exe
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.