TROJ_DOAL, troyano de propagación masiva. Borra archivos del sistema


DOAL es un troyano reportado el 02 de Julio del 2002, que simula ser un Generador de Llaves de Microsoft XP Home Edition y que se propaga entre los usuarios de la red que comparten los servicios de la red Kazza y Morpheous.





en un archivo de nombre Load.exe, de 305 KB de extensión, programado en Visual C++, el cual se encuentra empaquetado con el software de instalación denominado Vise:

http://www.mindvision.com/consulting/default.asp

Las redes compartidas de Kazza y Morpheous son muy populares, ya que permiten descargar videos, música MP3, fotografías y archivos de grupos musicales e intérpretes, a miles de usuarios, en forma simultánea. Para ello es necesario instalar en el sistema, sus respetivos software propietarios, los mismos que abren en la computadora del usuario el puerto 1214, el cual permite acceder a los equipos, a través de las siguientes instrucciones:

telnet IP-víctima 1214GET / HTTP/1.0
HTTP/1.1 200 OK
Content-Length: 2467
Accept-Ranges: bytes
Date: Tuei, 02 Jul 2002 14:14:36 GMT
Server: KazaaClient Jul 2 2002 17:18:29
Connection: close
Last-Modified: Tue, 02 Jul 2002 14:14:36 GMT
X-Kazaa-Username: NOMBRE_DE_USUARIO_VICTIMA
X-Kazaa-Network: MusicCity
X-Kazaa-IP: 200.44.XX.XXX:1214
X-Kazaa-SupernodeIP: 24.168.48.42:1214
Content-Type: text/html

Para infectar esta red, el autor debe tener instalado el software propietario, luego conectarse a cualquiera de estos servidores web y ejecutar el archivo infectado, con lo cual también infectará el equipo que esté usando y que asumimos sea uno ajeno (cabina pública, estación de trabajo de un centro laboral o de estudios, etc.)

Cuando el archivo infectado es ejecutado el troyano crea las siguientes carpetas:

C:Program FilesWindows XP Home Keys
C:Program FilesCommon FilesSoftware

Luego crea además los siguientes archivos:

C:Program FilesWindows XP Home KeysWindows XP Home Edition Serials.diz de 499 bytes y que es un archivo de texto que contiene cadenas ASCII que identifican el formato de los números de serie del registro de cada sistema operativo específico.
C:Program FilesCommon FilesSoftwareLoad.exe, de 312,606 bytes.

Para ser ejecutado la próxima vez que se inicie el sistema el troyano modifica la llave del registro de Windows:

[ HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
Microsoft Tasks ="C:Program FilesCommon FilesSoftwareLoad.exe"

A su vez reemplaza el icono del MS-DOS por el siguiente gráfico:



La siguiente vez que se reinicie el sistema, el archivo infectado Load.exe será ejecutado y mostrará la siguiente caja de diálogo:



Al hacer click en el botón "Yes" su payload consistirá en borrar los siguientes archivos del sistema, dejándolo inutilizable:

Win.com, Autoexec.bat y una variedad de archivos con extensión .DLL de la carpeta C:WindowsSystem.

Este gusano tiene un formato PE (Portable Ejecutable) que infecta todos los sistemas operativos operativos Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000.


Otras noticias de interés:

Botnet controlada desde grupos de noticias
Symantec anuncia que ha descubierto la primera botnet de troyanos controlada desde grupos de noticias o newsgroups. Antes ya se habían detectado troyanos distribuyéndose por grupos de noticias, pero es la primera vez que se ve el uso de este medio ...
Google contra el phishing
El phishing sigue siendo una de las amenazas más importantes de la red, especialmente para usuarios con pocos conocimientos de seguridad informática. No son pocos los delincuentes que quieren conseguir nuestros datos de servicios online y, si puede...
Backdoor Linux/Cdorked.A
Hace algunas días Sucuri reportó una versión modificada de un servidor web Apache que redirigía algunas de las peticiones hacia el paquete de exploits Blackhole. El análisis de este malware reveló que se trata de un sofisticado backdoor (troyan...
Publicado el Service Pack 1 para Windows 7
Microsoft ha publicado el Windows 7 SP1 (Service Pack 1), que ya se encuentra disponible para descarga directa o desde Windows Update. ...
Signos de la Inseguridad de la informacion
Cuando las organizaciones no se encuentran atentas a los signos de los tiempos, las sorpresas se hacen evidentes, los riesgos se materializan y los pronósticos se comprometen. En este sentido, las empresas deben “sensar” y responder a su entorno...
Sigue amenaza en Códigos QR para los móviles
Check Point publica un estudio donde analiza los riesgos para la seguridad móvil derivados del escaneo de códigos QR....
ISP unidos contra las botnets
Los computadores zombis o botnets se han convertido en una seria amenaza para la economía digital. De esta forma, los proveedores de contenidos y de conexiones a Internet de Estados Unidos (Internet Service Providers o ISP, en inglés), como AT&T, V...
Microsoft publica una actualización para MDAC
Microsoft ha proporcionado una actualización que corrige un problema de seguridad detectado en las versiones 2.5 a 2.7 de Microsoft Data Access Components, más conocido como MDAC, por el cual un atacante puede llegar a ej...
Denegación de servicio a través de ataques de complejidad algorítmica
Investigadores de la universidad de Riced, en EE.UU., han propuesto y demostrado un nuevo tipo de ataque de denegación de servicio (DoS), efectivo contra un gran numero de servicios y tecnologías. El ataque se basa en explotar vulner...
CURSOS DE PHP: ULTIMOS CUPOS PARA CURSO EN LA CIUDAD DE PUERTO ORDAZ
CERTIFICACION COMPLETA Últimos cupos para el curso a realizarse en la ciudad de Puerto Ordaz de Certificación Completa (Los 3 niveles), tendrá una duración de 40 Horas....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • archivos
  • blog
  • borra
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • masiva
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • propagacion
  • sabayon
  • seguridad
  • sistema
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troj_doal
  • troyano
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra