w32/chod.d

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/chod.d

w32.chod.d , w32/chode-d, backdoor.win32.landis.a, bkdr_landis.a

tipo: gusano
tama?o: 112,923 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.8 al 04/08/2005.
w32/chod.d, es un gusano que se difunde a si mismo a trav?s del msn messenger, tiene caracter?sticas de troyano backdoor. el gusano cambia las configuraciones de seguridad del computador atacado y bloquea el acceso a determinados sitios web.
cuando el gusano se ejecuta se copia a si mismo dentro de una carpeta que crea con un nombre aleatorio dentro de la carpeta system :
system \[carpeta con nombre aleatorio]\csrss.exe system \[carpeta con nombre aleatorio]\csrss.ini system \[carpeta con nombre aleatorio]\csrss.dat crea el siguiente acceso directo para poder ejecutarse en cada inicio del sistema
userprofile \start menu\programs\startup\csrss.lnk nota:
system , representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32)
userprofile , representa la carpeta del perfil de usuario, por defecto esta esta ubicada en: c:\document and settings\[perfil de usuario]
adem?s modifica algunas entradas en el registro para poder ejecutarse en cada inicio del sistema:
hkey_current_user\software\microsoft\windows nt\currentversion\windows
load= system \[carpeta con nombre aleatorio]\csrss.exe
hkey_current_user\software\microsoft\windows nt\currentversion\windows
run= system \[carpeta con nombre aleatorio]\csrss.exe
tambi?n modifica las siguientes entradas en el registro para que el explorador de windows no visualice los archivos ocultos y de sistema:
hkey_current_user\software\microsoft\windows\currentversion\explorer\advanced
hidden=2
hkey_current_user\software\microsoft\windows\currentversion\explorer\advanced
superhidden=0
hkey_current_user\software\microsoft\windows\currentversion\explorer\advanced
showsuperhidden=0
el gusano realiza otras modificaciones en el registro de windows, que ocasionan cambios y restricciones en las pol?ticas de sistema:
hkey_current_user\software\microsoft\windows\currentversion\policies\system
disableregistrytools=1
hkey_current_user\software\microsoft\windows\currentversion\policies\system
noadminpage=1
tambi?n modifica las siguientes entradas:
hkey_local_machine\software\microsoft\windows\currentversion\run
csrss=
hkey_current_user\software\microsoft\windows\currentversion\run
csrss=
hkey_current_user\software\chode
installed=1
hkey_classes_root\chode
installed=1
en sistemas con windows 95/98/me el gusano modifica el archivo win.ini agregandole las siguientes entradas para asegurar de esta forma su ejecuci?n en cada inicio del sistema.
[windows]
load= system \[ carpeta con nombre aleatorio]\csrss.exe
run= system \[ carpeta con nombre aleatorio]\csrss.exe
seguidamente realiza las siguientes acciones
finaliza el firewall de windows y el centro de seguridad de windows. detiene los siguientes servicios relacionados a programas de seguridad:
ccevtmgr sndsrvc ccproxy ccpwdsvc ccsetmgr spbbcsvc savscan sbservice smcservice outpostfirewall vsmon caisafe pcctlcom tmpfw detiene los siguientes procesos pertenecientes a programas de seguridad
msconfig.exe kav.exe kavsvc.exe mcvsshld.exe mcagent.exe mcvsrte.exe mcshield.exe mcvsftsn.exe mcdash.exe mcvsescn.exe mcinfo.exe mpfagent.exe mpftray.exe mpfservice.exe mskagent.exe mcmnhdlr.exe sndsrvc.exe usrprmpt.exe ccapp.exe ccevtmgr.exe spbbcsvc.exe ccsetmgr.exe symlcsvc.exe npfmntor.exe navapsvc.exe issvc.exe ccproxy.exe navapw32.exe navw32.exe smc.exe outpost.exe zlclient.exe vsmon.exe isafe.exe pandaavengine.exe msblast.exe penis32.exe teekids.exe bbeagle.exe d3dupdate.exe sysmonxp.exe i11r54n4.exe irun4.exe mscvb32.exe sysinfo.exe mwincfg32.exe wincfg32.exe winsys.exe zapro.exe winupd.exe enterprise.exe regedit.exe hijackthis.exe gcasdtserv.exe gcasserv.exe pcctlcom.exe tmntsrv.exe tmproxy.exe pccguide.exe tmpfw.exe pcclient.exe intentar? eliminar las siguientes entradas del registro pertenecientes a programas de seguridad
hkey_local_machine\software\microsoft\windows\currentversion\run\cleanup hkey_local_machine\software\microsoft\windows\currentversion\run\mcagentexe hkey_local_machine\software\microsoft\windows\currentversion\run\mcupdateexe hkey_local_machine\software\microsoft\windows\currentversion\run\virusscan hkey_local_machine\software\microsoft\windows\currentversion\run\online hkey_local_machine\software\microsoft\windows\currentversion\run\vsochecktask hkey_local_machine\software\microsoft\windows\currentversion\run\ccapp hkey_local_machine\software\microsoft\windows\currentversion\run\symantec hkey_local_machine\software\microsoft\windows\currentversion\run\netdriver hkey_local_machine\software\microsoft\windows\currentversion\run\monitor hkey_local_machine\software\microsoft\windows\currentversion\run\smcservice hkey_local_machine\software\microsoft\windows\currentversion\run\outpost hkey_local_machine\software\microsoft\windows\currentversion\run\firewall hkey_local_machine\software\microsoft\windows\currentversion\run\gcasserv hkey_local_machine\software\microsoft\windows\currentversion\run\pccguide.exe hkey_local_machine\software\microsoft\windows\currentversion\run\kavpersonal50 hkey_local_machine\software\microsoft\windows\currentversion\run\zone labs client el gusano abre una puerta trasera (backdoor) en el computador atacado para conectarse a un canal irc en uno de los siguientes dominios:
http://update.ch0de.info/[xxxxxx] http://bk.vbulettin.com/[xxxxxx] http://bk.ch0dewaffles.info/[xxxxxx] http://superaids.zapto.org/[xxxxxx] si logra establecer comunicaci?n queda a la espera de recibir ordenes remotas de un atacante, las ordenes podr?an realizar las siguientes acciones:
finalizar procesos descargar y ejecutar archivos descargar y actualizar el archivo del gusano difundirse a trav?s del msn messenger reiniciar y apagar el computador atacado ejecutar un hacktool robar contrase?as realizar ataques de denegaci?n de servicio (dos) luego el gusano sobrescribe el archivo hosts que se encuentra en system \drivers\etc\ , para redireccionar las siguientes urls al local host (127.0.0.1)
127.0.0.1 avp.com 127.0.0.1 www.avp.com 127.0.0.1 ca.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 f-secure.com 127.0.0.1 fastclick.net 127.0.0.1 ftp.f-secure.com 127.0.0.1 ftp.sophos.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 mast.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 nai.com 127.0.0.1 networkassociates.com 127.0.0.1 secure.nai.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 service1.symantec.com 127.0.0.1 sophos.com 127.0.0.1 support.microsoft.com 127.0.0.1 symantec.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 vil.nai.com 127.0.0.1 viruslist.com 127.0.0.1 www.viruslist.com 127.0.0.1 www.awaps.net 127.0.0.1 www.ca.com 127.0.0.1 www.f-secure.com 127.0.0.1 www.fastclick.net 127.0.0.1 www.mcafee.com 127.0.0.1 www.microsoft.com 127.0.0.1 www.my-etrust.com 127.0.0.1 www.nai.com 127.0.0.1 www.networkassociates.com 127.0.0.1 www.sophos.com 127.0.0.1 www.symantec.com 127.0.0.1 www3.ca.com 127.0.0.1 www.grisoft.com 127.0.0.1 grisoft.com 127.0.0.1 housecall.trendmicro.com 127.0.0.1 trendmicro.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.pandasoftware.com 127.0.0.1 pandasoftware.com 127.0.0.1 kaspersky.com 127.0.0.1 www.kaspersky.com 127.0.0.1 www.zonelabs.com 127.0.0.1 zonelabs.com 127.0.0.1 www.spywareinfo.com 127.0.0.1 spywareinfo.com 127.0.0.1 www.merijn.org 127.0.0.1 merijn.org finalmente intentara enviarse a si mismo a todos los contactos v?a el msn messenger, utilizando el siguiente mensaje:
hey, is this you?
[http://]www.vbulettin.com/[ xxxxxx]msn.php?email=[ direcci?n de e-mail aleatorio]
1992/2005


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo