TROJ_DOAL, troyano de propagación masiva. Borra archivos del sistema


DOAL es un troyano reportado el 02 de Julio del 2002, que simula ser un Generador de Llaves de Microsoft XP Home Edition y que se propaga entre los usuarios de la red que comparten los servicios de la red Kazza y Morpheous.





en un archivo de nombre Load.exe, de 305 KB de extensión, programado en Visual C++, el cual se encuentra empaquetado con el software de instalación denominado Vise:

http://www.mindvision.com/consulting/default.asp

Las redes compartidas de Kazza y Morpheous son muy populares, ya que permiten descargar videos, música MP3, fotografías y archivos de grupos musicales e intérpretes, a miles de usuarios, en forma simultánea. Para ello es necesario instalar en el sistema, sus respetivos software propietarios, los mismos que abren en la computadora del usuario el puerto 1214, el cual permite acceder a los equipos, a través de las siguientes instrucciones:

telnet IP-víctima 1214GET / HTTP/1.0
HTTP/1.1 200 OK
Content-Length: 2467
Accept-Ranges: bytes
Date: Tuei, 02 Jul 2002 14:14:36 GMT
Server: KazaaClient Jul 2 2002 17:18:29
Connection: close
Last-Modified: Tue, 02 Jul 2002 14:14:36 GMT
X-Kazaa-Username: NOMBRE_DE_USUARIO_VICTIMA
X-Kazaa-Network: MusicCity
X-Kazaa-IP: 200.44.XX.XXX:1214
X-Kazaa-SupernodeIP: 24.168.48.42:1214
Content-Type: text/html

Para infectar esta red, el autor debe tener instalado el software propietario, luego conectarse a cualquiera de estos servidores web y ejecutar el archivo infectado, con lo cual también infectará el equipo que esté usando y que asumimos sea uno ajeno (cabina pública, estación de trabajo de un centro laboral o de estudios, etc.)

Cuando el archivo infectado es ejecutado el troyano crea las siguientes carpetas:

C:Program FilesWindows XP Home Keys
C:Program FilesCommon FilesSoftware

Luego crea además los siguientes archivos:

C:Program FilesWindows XP Home KeysWindows XP Home Edition Serials.diz de 499 bytes y que es un archivo de texto que contiene cadenas ASCII que identifican el formato de los números de serie del registro de cada sistema operativo específico.
C:Program FilesCommon FilesSoftwareLoad.exe, de 312,606 bytes.

Para ser ejecutado la próxima vez que se inicie el sistema el troyano modifica la llave del registro de Windows:

[ HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
Microsoft Tasks ="C:Program FilesCommon FilesSoftwareLoad.exe"

A su vez reemplaza el icono del MS-DOS por el siguiente gráfico:



La siguiente vez que se reinicie el sistema, el archivo infectado Load.exe será ejecutado y mostrará la siguiente caja de diálogo:



Al hacer click en el botón "Yes" su payload consistirá en borrar los siguientes archivos del sistema, dejándolo inutilizable:

Win.com, Autoexec.bat y una variedad de archivos con extensión .DLL de la carpeta C:WindowsSystem.

Este gusano tiene un formato PE (Portable Ejecutable) que infecta todos los sistemas operativos operativos Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000.


Otras noticias de interés:

Curso para principiantes en UBUNTU (Parte 7 - 8 - 9)
Seguimos con los videotutoriales realizado por Jesús Conde de videotutoriales.com, esta vez presentamos la partes 7 - 8 y 9. En esta oportunidad los videos muestran:...
Ataques Hack a través de rebote de puertos (port bouncing)
Consisten los ataques por rebote de puertos (port bouncing), que permiten utilizar uno o más sistemas intermedios para ocultar la dirección IP desde la que se origina la agresión, dificultando así que se le pueda seguir el rastro....
Microsoft, nuevo firewall y otras sorpresas!
Microsoft ha estado haciendo varias cosas en las últimas semanas. Que la compañía invite a los desarrolladores de Mozilla a Redmond, para cerciorarse de que Firefox y Thunderbird funcionan correctamente en Vista, no es lo menos sorprendente....
La AI cuelga en la Red aplicación que soluciona el problema del "proxy caché"
La Asociación de Internautas cuelga en la Red una aplicación que soluciona el problema del proxy caché. Este sistema disminuye el tráfico de datos e impide conseguir la actualización de las webs ...
Microsoft publicará doce boletines de seguridad el próximo martes
En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan doce boletines de seguridad, cinco destinados a su sistema operativo Windows, dos a Microsoft Office, uno que afecta...
Symantec adquiere cuatro compañías de seguridad
Symantec ha anunciado la adquisición de cuatro compañías centradas en el mercado de la seguridad como son Mountain Wave, Recourse Technologies, Riptech y SecurityFocus, por un valor total cercano a los de 375 millones de euros. ...
Grave vulnerabilidad en PCAnywhere
Se ha publicado una vulnerabilidad en PCAnywhere que permite ejecutar código en el sistema donde esté corriendo la aplicación. Esto es especialmente grave puesto que la aplicación, por diseño, está pensada para ser accesible en remo...
Revelan detalles de una vulnerabilidad no solucionada
La vulnerabilidad de Safari conocida como Carpet Bombing (muchas bombas en un pequeño espacio), aún no ha sido solucionada, a pesar de que Microsoft liberó el pasado martes una actualización de seguridad para Internet Explorer. ...
Virus Koobface se mejora y ahora copia el diseño de Facebook
Lejos de que los días de actividad de Koobaface estén contados, este gusano sigue propagándose en las redes sociales (MySpace y Facebook principalmente) y, peor aún, sigue mejorando sus tácticas para engañar a los usuarios. ...
ReactOS Lanzada la version 0.3.11
ReactOS es un proyecto libre cuyo objetivo es crear un Sistema Operativo gratuito donde poder ejecutar cualquier aplicación tipo MS-Windows....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • archivos
  • blog
  • borra
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • masiva
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • propagacion
  • sabayon
  • seguridad
  • sistema
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troj_doal
  • troyano
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra