Strict Standards: Accessing static property Database::$database as non static in /home/manual/public_html/includes/class/Database.class.php on line 26
Manual informática de trojan_tooso_l

trojan_tooso_l

Imagen biografía
Categoría: Troyanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de trojan_tooso_l

trojan.tooso.l, troj_bagle.bi
tipo: troyano
tama?o: 36,352 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.8, registro de virus al 11/08/2005.
trojan/tooso.l , llega en un archivo adjunto que es enviado por la variante del gusano w32/bagle.ce@mm, el troyano finaliza procesos pertenecientes a programas de seguridad y elimina archivos.
cuando el troyano se ejecuta crea una copia de si mismo dentro de:
system \winshost.exe seguidamente copia un archivo dentro de:
system \wiwshost.exe nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 )
adem?s modifica la siguiente entrada en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
winshost.exe= system \winshost.exe
hkey_current_user\software\microsoft\windows\currentversion\run
winshost.exe= system \winshost.exe
tambi?n crea las siguientes entradas en el registro para desactivar el servicio de acceso compartido, actualizaciones autom?ticas y servicio de alertas en windows 2000/xp.
hkey_local_machine\system\currentcontrolset\services\sharedaccess
start=4
hkey_local_machine\system\currentcontrolset\services\wuauserv
start=4
hkey_local_machine\system\currentcontrolset\services\alerter
start=4
seguidamente el troyano intentara realizar las siguientes acciones:
intenta unir wiwshost.exe dentro de los procesos del explorer.exe. deshabilita servicios que se est?n ejecutando con los siguientes nombres:
ahnlab task scheduler alerter alertmanger avexch32service avg7alrt avg7updsvc avgcore avgfsh avgserv avpcc avpcc avupdservice avxini awhost32 backweb client-4476822 backweb client - 4476822 backweb client - 7681197 blackice caisafe ccevtmgr ccpwdsvc ccsetmgr ccsetmgr.exe defwatch dvpapi dvpinit f-secure gatekeeper handler starter fsbwsys fsdfwd fsdfwd fsma kavmonitorservice kavsvc klblmain mcafee firewall mcafeeframework mcshield mctaskmanager mcupdmgr.exe mcvsrte monsvcnt navapsvc network associates log service nisserv nisum nod32controlcenter nod32service norman njeeves norman zanda norton antivirus server npfmntor nprotectservice nsctop nvcoas nvcscheduler nwclntc nwclntd nwclnte nwclntf nwclntg nwclnth nwservice outbreak manager outpost firewall outpostfirewall passrv pavfnsvr pavkre pavprot pavprsrv pavsrv pccpfw persfw prevsrv psimsvc ravmon8 savfmse savscan sbservice schscnt sharedaccess sharedaccess smcservice sndsrvc spbbcsvc sweepnet sweepsrv.sys symantec antivirus client symantec core lc tmntsrv v3monnt v3monsvc vexiraantivirus visnetic antivirus plug-in vsmon wuauserv xcomm intenta eliminar las siguientes entradas pertenecientes a programas de seguridad y antivirus. hkey_current_user\software\microsoft\windows\currentversion\run\mcafee.instantupdate.monitor
hkey_local_machine\software\microsoft\windows\currentversion\run\apvxdwin
hkey_local_machine\software\microsoft\windows\currentversion\run\avg7_cc
hkey_local_machine\software\microsoft\windows\currentversion\run\avg7_emc
hkey_local_machine\software\microsoft\windows\currentversion\run\ccapp
hkey_local_machine\software\microsoft\windows\currentversion\run\kav50
hkey_local_machine\software\microsoft\windows\currentversion\run\mcafee guardian
hkey_local_machine\software\microsoft\windows\currentversion\run\nav cfgwiz
hkey_local_machine\software\microsoft\windows\currentversion\run\ssc_userprompt
hkey_local_machine\software\microsoft\windows\currentversion\run\symantec netdriver monitor
hkey_local_machine\software\microsoft\windows\currentversion\run\zone labs client
hkey_local_machine\software\agnitum
hkey_local_machine\software\kasperskylab
hkey_local_machine\software\mcafee
hkey_local_machine\software\panda software
hkey_local_machine\software\symantec
hkey_local_machine\software\zone labs
intentar? finalizar procesos con los siguientes nombres: atupdater.exe atupdater.exe aupdate.exe autodown.exe autotrace.exe autoupdate.exe avpupd.exe avwupd32.exe avxquar.exe avxquar.exe cfiaudit.exe drwebupw.exe escanh95.ex escanhnt.exe firewall.exe icssuppnt.exe icsupp95.exe luall.exe mcupdate.exe nupgrade.exe nupgrade.exe outpost.exe update.exe upgrader.exe intentar? detener los siguientes servicios: sharedaccess wscsvc busca archivos en las unidades de disco que tengan los siguientes nombres para eliminarlos:
aupd1ate.exe aupdate.exe av1synmgr.exe avc1onsol.exe avconsol.exe avsynmgr.exe c1csetmgr.exe cc1evtmgr.exe ccevtmgr.exe ccsetmgr.exe cm1grdian.exe cmgrdian.exe k2a2v.exe kav.exe lual1l.exe luall.exe lui1nsdll.dll luinsdll.dll luup1date.exe luupdate.exe mcsh1ield.exe mcshield.exe nav1apsvc.exe navapsvc.exe npfm1ntor.exe npfmntor.exe vs6va5ult.dll vsvault.dll zatu6tor.exe zatutor.exe zl5avscan.dll zlavscan.dll zlcli6ent.exe zlclient.exe zo3nealarm.exe zonealarm.exe rula1unch.exe rulaunch.exe snd1srvc.exe sndsrvc.exe sp1bbcsvc.exe spbbcsvc.exe up222date.exe up2date.exe vs1stat.exe vsstat.exe vshw1in32.exe vshwin32.exe a5v.dll av.dll avg23emc.exe avgc3c.exe avgcc.exe avgemc.exe c6a5fix.exe cafix.exe cc1l30.dll cca1pp.exe ccapp.exe ccl30.dll ccv1rtrst.dll ccvrtrst.dll is5a6fe.exe isafe.exe kav12mm.exe kavmm.exe outp1ost.exe outpost.exe s1ymlcsvc.exe symlcsvc.exe ve6tre5dir.dll vetredir.dll intentar? descargar archivos de los siguientes dominios:
http://www.21ebuild.com/[xxxxxx]/osa4.gif http://www.51.net/[xxxxxx]/osa4.gif http://www.acsohio.com/[xxxxxx]/osa4.gif http://www.agria.hu/[xxxxxx]/osa4.gif http://www.andi.com.vn/[xxxxxx]/osa4.gif http://www.angham.de/[xxxxxx]/osa4.gif http://www.ascolfibras.com/[xxxxxx]/osa4.gif http://www.automobilonline.de/[xxxxxx]/osa4.gif http://www.bangyan.cn/[xxxxxx]/osa4.gif http://www.beall-cpa.com/[xxxxxx]/osa4.gif http://www.bolz.at/[xxxxxx]/osa4.gif http://www.bs-security.de/[xxxxxx]/osa4.gif http://www.centrovestecasa.it/[xxxxxx]/osa4.gif http://www.checkonemedia.nl/[xxxxxx]/osa4.gif http://www.contentproject.com/[xxxxxx]/osa4.gif http://www.cz-wanjia.com/[xxxxxx]/osa4.gif http://www.czwanqing.com/[xxxxxx]/osa4.gif http://www.czzm.com/[xxxxxx]/osa4.gif http://www.datanet.huwww.datanet.hu/[xxxxxx]/osa4.gif http://www.designgong.org/[xxxxxx]/osa4.gif http://www.dgy.com.cn/[xxxxxx]/osa4.gif http://www.die-fliesen.de/[xxxxxx]/osa4.gif http://www.discoteka-funfactory.com/[xxxxxx]/osa4.gif http://www.dom-invest.com.pl/[xxxxxx]/osa4.gif http://www.eagle.com.cn/[xxxxxx]/osa4.gif http://www.eagleclub.com.cn/[xxxxxx]/osa4.gif http://www.ehc.hu/[xxxxxx]/osa4.gif http://www.elvis-presley.ch/[xxxxxx]/osa4.gif http://www.engelhardtgmbh.de/[xxxxxx]/osa4.gif http://www.externet.hu/[xxxxxx]/osa4.gif http://www.fahrschule-herb.de/[xxxxxx]/osa4.gif http://www.fahrschule-lesser.de/[xxxxxx]/osa4.gif http://www.fermegaroy.com/[xxxxxx]/osa4.gif http://www.festivalteatrooccidente.com/[xxxxxx]/osa4.gif http://www.formholz.at/[xxxxxx]/osa4.gif http://www.fotomax.fi/[xxxxxx]/osa4.gif http://www.gemtrox.com.tw/[xxxxxx]/osa4.gif http://www.gepeters.org/[xxxxxx]/osa4.gif http://www.gimex-messzeuge.de/[xxxxxx]/osa4.gif http://www.gomyhome.com.tw/[xxxxxx]/osa4.gif http://www.gymzn.cz/[xxxxxx]/osa4.gif http://www.hondenservice.be/[xxxxxx]/osa4.gif http://www.idaf.de/[xxxxxx]/osa4.gif http://www.idcs.be/[xxxxxx]/osa4.gif http://www.ider.cl/[xxxxxx]/osa4.gif http://www.inside-tgweb.de/[xxxxxx]/osa4.gif http://www.izoli.sk/[xxxxxx]/osa4.gif http://www.jcm-american.com/[xxxxxx]/osa4.gif http://www.jeoushinn.com/[xxxxxx]/osa4.gif http://www.jingjuok.com/[xxxxxx]/osa4.gif http://www.jue-bo.com/[xxxxxx]/osa4.gif http://www.kingsley.ch/[xxxxxx]/osa4.gif http://www.marketvw.com/[xxxxxx]/osa4.gif http://www.megaserve.net/[xxxxxx]/osa4.gif http://www.mild.at/[xxxxxx]/osa4.gif http://www.niko.de/[xxxxxx]/osa4.gif http://www.nikogmbh.com/[xxxxxx]/osa4.gif http://www.olva.com.pe/[xxxxxx]/osa4.gif http://www.on24.ee/[xxxxxx]/osa4.gif http://www.onlink.net/[xxxxxx]/osa4.gif http://www.ppm-alliance.de/[xxxxxx]/osa4.gif http://www.presley.ch/[xxxxxx]/osa4.gif http://www.renegaderc.com/[xxxxxx]/osa4.gif http://www.replayu.com/[xxxxxx]/osa4.gif http://www.sachsenbuecher.de/[xxxxxx]/osa4.gif http://www.sanjinyuan.com/[xxxxxx]/osa4.gif http://www.scvanravenswaaij.nl/[xxxxxx]/osa4.gif http://www.slovanet.sk/[xxxxxx]/osa4.gif http://www.snsphoto.com/[xxxxxx]/osa4.gif http://www.societaet.de/[xxxxxx]/osa4.gif http://www.soeco.org/[xxxxxx]/osa4.gif http://www.softmajor.ru/[xxxxxx]/osa4.gif http://www.solt3.org/[xxxxxx]/osa4.gif http://www.spacium.biz/[xxxxxx]/osa4.gif http://www.speedcom.home.pl/[xxxxxx]/osa4.gif http://www.spirit-in-steel.at/[xxxxxx]/osa4.gif http://www.spoden.de/[xxxxxx]/osa4.gif http://www.sportnf.com/[xxxxxx]/osa4.gif http://www.spy.az/[xxxxxx]/osa4.gif http://www.sqnsolutions.com/[xxxxxx]/osa4.gif http://www.st-paulus-bonn.dehtdocs/[xxxxxx]/osa4.gif http://www.stbs.com.hk/[xxxxxx]/osa4.gif http://www.steripharm.com/[xxxxxx]/osa4.gif http://www.students.stir.ac.uk/[xxxxxx]/osa3.gif http://www.subsplanet.com/[xxxxxx]/osa4.gif http://www.sungodbio.com/[xxxxxx]/osa4.gif http://www.superbetcs.com/[xxxxxx]/osa4.gif http://www.sweb.cz/[xxxxxx]/osa4.gif http://www.sydolo.com/[xxxxxx]/osa4.gif http://www.szdiheng.com/[xxxxxx]/osa4.gif http://www.tcicampus.net/[xxxxxx]/osa4.gif http://www.techni.com.cn/[xxxxxx]/osa4.gif http://www.tg-sandhausen-basketball.de/[xxxxxx]/osa4.gif http://www.th-mutan.com/[xxxxxx]/osa4.gif http://www.thaifast.com/[xxxxxx]/osa4.gif http://www.thaiventure.com/[xxxxxx]/osa4.gif http://www.thefunkiest.com/[xxxxxx]/osa4.gif http://www.thenextstep.tv/[xxxxxx]/osa4.gif http://www.thetexasoutfitter.com/[xxxxxx]/osa4.gif http://www.tmhcsd1987.friko.pl/[xxxxxx]/osa4.gif http://www.toussain.be/[xxxxxx]/osa4.gif http://www.trago.com.pt/[xxxxxx]/osa4.gif http://www.travelourway.com/[xxxxxx]/osa4.gif http://www.trgd.dobrcz.pl/[xxxxxx]/osa4.gif http://www.triapex.cz/[xxxxxx]/osa4.gif http://www.triptonic.ch/[xxxxxx]/osa4.gif http://www.tv-marina.com/[xxxxxx]/osa4.gif http://www.udc-cassinadepecchi.it/[xxxxxx]/osa4.gif http://www.universe.sk/[xxxxxx]/osa4.gif http://www.uspowerchair.com/[xxxxxx]/osa4.gif http://www.uw.hu/[xxxxxx]/osa4.gif http://www.vercruyssenelektro.be/[xxxxxx]/osa4.gif http://www.vet24h.com/[xxxxxx]/osa4.gif http://www.vinimeloni.com/[xxxxxx]/osa4.gif http://www.vnn.vn/[xxxxxx]/osa4.gif http://www.vnrvjiet.ac.in/[xxxxxx]/osa4.gif http://www.vote2fateh.com/[xxxxxx]/osa4.gif http://www.vw.press-bank.pl/[xxxxxx]/osa4.gif http://www.wamba.asn.au/[xxxxxx]/osa4.gif http://www.wdlp.co.za/[xxxxxx]/osa4.gif http://www.welchcorp.com/[xxxxxx]/osa4.gif http://www.wesartproductions.com/[xxxxxx]/osa4.gif http://www.wilsonscountry.com/[xxxxxx]/osa4.gif http://www.windstar.pl/[xxxxxx]/osa4.gif http://www.wise-industries.com/[xxxxxx]/osa4.gif http://www.witold.pl/[xxxxxx]/osa4.gif http://www.wombband.com/[xxxxxx]/osa4.gif http://www.x-treme.cz/[xxxxxx]/osa4.gif http://www.xiantong.net/[xxxxxx]/osa4.gif http://www.xmpie.com/[xxxxxx]/osa4.gif http://www.xmtd.com/[xxxxxx]/osa4.gif http://www.xojc.com/[xxxxxx]/osa4.gif http://www.yannick-spruyt.be/[xxxxxx]/osa4.gif http://www.yayadownload.com/[xxxxxx]/osa4.gif http://www.yesterdays.co.za/[xxxxxx]/osa4.gif http://www.yshkj.com/[xxxxxx]/osa4.gif http://www.zakazcd.dp.ua/[xxxxxx]/osa4.gif http://www.zenesoftware.com/[xxxxxx]/osa4.gif http://www.zentek.co.za/[xxxxxx]/osa4.gif http://www.zorbas.az/[xxxxxx]/osa4.gif http://www.zsbersala.edu.sk/[xxxxxx]/osa4.gif finalmente el troyano sobrescribe el archivo hosts que se encuentra en system \drivers\etc\ , para redireccionar direcciones urls al localhost (127.0.0.1)
1992/2005


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo