Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
W32/Lovsan.C (Blaster). Utiliza "teekids.exe"
 
VSantivirus No. 1133 Año 7, Jueves 14 de agosto de 2003

 W32/Lovsan.C (Blaster). Utiliza "teekids.exe"
http://www.vsantivirus.com/lovsan-c.htm

Nombre: W32/Lovsan.C (Blaster)
Tipo: Gusano de Internet
Alias: W32.Blaster.C.Worm, W32/Blaster-B, W32/Lovsan.worm.b, Win32.Poza.B, Win32/Lovsan.C, MSBlast, Exploit-DcomRpc (variant), W32.Blaster.Worm, Win32.Poza, WORM_MSBLAST.B
Fecha: 13/ago/03
Plataforma: Windows 2000, XP
Reportado por: varios
Tamaño: 5,360 bytes

Esta variante es idéntica a la versión A, salvo en los siguientes puntos:

1. Libera dos archivos desde una página Web:

teekids.exe
root32.exe

El primero (teekids.exe) es el gusano propiamente dicho. El segundo (root32.exe) es un troyano del tipo backdoor (una versión del troyano Troj/Backdoor.Lithium.103), que le permite a un intruso remoto las siguientes acciones en la computadora infectada:

Abrir o cerrar la bandeja del CD Rom
Agregar o quitar Plugins
Cambiar la prioridad de los procesos
Capturar imágenes de una Web-Cam en un archivo
Capturar pantallas y enviarlas comprimidas
Capturar sonidos por el micrófono del PC
Cerrar el Servidor
Configurar el Servidor
Controlar el ratón
Descargar archivos de sitios de Internet y ejecutarlos
Detallar la lista de procesos
Detallar los archivos compartidos en red
Ejecutar archivos
Eliminar el Servidor
Escanear rangos de direcciones IP
Explorar archivos
Finalizar procesos activos
Inhabilitar teclas (entre ellas CTRL, ALT, SUPR, TAB, etc.)
Modificar el registro
Mostrar mensajes de alerta
Mostrar o esconder botón de Inicio
Mostrar o esconder el cursor
Mostrar o esconder iconos del escritorio
Mostrar o esconder reloj del sistema
Obtener información del sistema
Obtener todas las claves de la víctima
Registrar y reenviar todo lo tecleado por la víctima
Reiniciar el Servidor
Shell remoto

2. El gusano agrega una de estas entradas en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Inet Xp.. = teekids.exe

 HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Inet Xp.. = teekids.exe Microsoft can suck my left testi! Bill

3. El troyano Troj/Backdoor.Lithium.103 a su vez, agrega la siguiente entrada:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Root Account = root32.exe

4. El gusano (teekids.exe) contiene el siguiente texto:

Microsoft can suck my left testi!
Bill Gates can suck my right testi! 
And All Antivirus Makers Can Suck My Big Fat Cock

5. El ejecutable del gusano, en lugar de estar comprimido con la herramienta UPX, lo está con FSG.

El resto de los detalles del gusano son idénticos a la versión A, y se dan en el siguiente enlace (incluidas las instrucciones para eliminarlo manualmente):


Más información:

W32/Lovsan.A (Blaster). Utiliza la falla en RPC
http://www.vsantivirus.com/lovsan-a.htm


Actualizaciones:

13/ago/03 (20.50)
 13/ago/03 (22.30)
14/ago/03 (3.10)
14/ago/03 (12.08)




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS