Otras noticias
Más noticias
En el foro
Ir al foro de Seguridad
virus

El virus SpamTool.Mailbot.BC. envía spam utilizando un rootkit

Caballo de Troya que utiliza el equipo infectado como servidor proxy, actuando como intermediario entre Internet y un grupo de usuarios. Esto le permite recibir peticiones de un atacante remoto, y redirigirlas a Internet desde el equipo infectado, en este caso para el envío masivo de spam, según publica VSantivirus.

09 Ago 2006 | VS ANTIVIRUS
Utiliza técnicas de rootkit para ocultar sus archivos y entradas en el registro. Un rootkit es una herramienta que permite acceder a un sistema como un usuario con todos los permisos (root), que en estos casos es utilizada para ocultar las actividades de un atacante dentro del sistema, después que éste ha logrado ingresar a él.

Además, para dificultar su detección y eliminación, utiliza las propiedades de almacenamiento de datos proporcionadas por el sistema de archivo NTFS (disponible en Windows NT, 2000 y XP). En estos sistemas, los archivos pueden contener diferentes "flujos" de datos. A esto se le llama "file stream". Puede compararse esto a tener varios archivos comprimidos dentro de un solo .ZIP. Cada stream es accesible como un archivo individual llamado ADS (Alternate Data Stream).

Al ejecutarse, el troyano puede crear los siguientes archivos (los nombres pueden variar según las variantes):

\TEMP\??????.tmp.log

Donde "??????" son caracteres al azar.

NOTA: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.

Puede crear el siguiente ADS (Alternate Data Stream) oculto:

c:\windows\System32:lzx32.sys

También crea un servicio de dispositivo oculto, con las siguientes características:

Nombre de servicio: pe386
Nombre para mostrar: Win23 lzx files loader
Ruta de acceso al ejecutable: c:\windows\System32:lzx32.sys
Tipo: Automático

NOTA: El nombre "pe386" puede variar si varía el nombre del ejecutable.

Para habilitar dicho servicio, la siguiente entrada en el registro es creada:

HKLM\SYSTEM\CurrentControlSet\Services\pe386

NOTA: Todas las entradas mencionadas, son ocultadas al usuario por la característica de rootkit mencionada antes. También intenta ocultarse de determinadas herramientas especializadas en la detección de rootkits, en concreto de aquellas que contengan algunas de las siguientes cadenas:

Anti-Rootkit
BlackLight
DarkSpy
endoscope.EXE
gmer.exe
Rkdetector
RootkitRevealer

El troyano intenta modificar el funcionamiento de los siguientes archivos del sistema, para intentar eludir cortafuegos y modificar la transferencia de paquetes vía redes:

ndis.sys
tcpip.sys
wanarp.sys

También intenta descargar e instalar otros programas como ICQ, y redireccionar el tráfico a determinadas páginas de Internet.

Tags: rootkit, spam, virus
Boletín

Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.

Comentarios
LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
#1 | 16 Ago 2006, 22:47
Starlyng

Dios mio parece que quien o quienes hicieron este troyano se empeñaron pero igual como todo virus puede ser eliminado si no se deja eliminar desde tu cuenta de usuario entra en modo seguro y eliminalo ahi claro esta que se podra porque es un virus ejecutable y en modo seguro ningun programa se ejecuta por lo tanto virus peligroso pero no imposible de quitar, si necesitan ayuda para quitar algun virus escribanme a enrique_yeah@hotmail.com saludos chau.

#2 | 23 Ago 2006, 17:25
Anónimo

medio muchisimo gusto saber que todabia hay personas como usted con un alto grado de disponibilidad y corason disponible para halludar halosdemas que dios lobendiga sienpre por sugesto tan noble para conlosdemas pues mire letengo puesto elantiviru avg y parese que los ensierra losviros digame hasi llanopueden estos virus dañar espero con mucho rrespeto su contestacion micorreo es feli_1232@hotmail .com

#3 | 14 Abr 2007, 03:29
Samael

Este bichito me reseteaba la compu apenas terminaba de entrar windows.. me daba pantalla azul y que el archivo lzx32.sys ejecutaba algo prohibido.. no habia forma de detenerlo.. entraba en modo a prueba de fallos y no lo podia eliminar, ya que no podia instalar ningun antispyware, ni tampoco podia encontrarlo en el system32.. como lo detuve? antando con alambre..

entre en modo a prueba de fallos, fui al windows\system32 y me fabriqué un lzx32.sys sin nada adentro y modifique los atributos a oculto y solo lectura.. santo remedio, el bichito quedo inhabilitado.. al menos me compre tiempo para salvar mis documentos y realizar la formateada obligada a mi windows.. algo que deberia haber hecho cada seis meses.. bue.. espero le sirva a otro.. saludos

#4 | 15 Abr 2007, 08:50
jaimestarfire

maldito win23

como lo sacooooooooooo

alguien me puede ayudar porfavor

mi msn es

jaimestarfire@hotmail.com

se lo agradeseria muxo.

#5 | 27 Jun 2007, 04:57
Anónimo

tengo un virus en mi camara dijital, eso me han dicho no se si es verdad dime tu mi camara se pone con muchas rayitas y luego se pone rosada y no se ve nada de imagen aveces vuelve en si pero es raro siempre se queda el rosado fijo.

el otro virus es en mi msn de hotmail cuando lo abro le sale a mis contactos letras en portugues

o un idioma raro porvavor ke ago

quiero ke me ayudes en unos virus ke tengo porfavor si puedes

enrique_yeah@hotmail.com

Entérate de cuándo hay nuevos comentarios

No se permitirán los comentarios que :
- puedan resultar ofensivos o injuriosos
- incluyan insultos, alusiones sexuales innecesarias y palabras soeces o vulgares
- apoyen la pedofilia, el terrorismo o la xenofobia

Autor
Comentario
BBCode (Ayuda): [b], [i], [quote], [code]
Publicidad
Ahora en LaFlecha puedes encontrar cursos y másters