Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

TrojanDownloader.Tivso.C. Descarga gusano Mocalo
 
VSantivirus No. 2022 Año 10, sábado 21 de enero de 2006

 TrojanDownloader.Tivso.C. Descarga gusano Mocalo
http://www.vsantivirus.com/trojandownloader-tivso-c.htm

Nombre: TrojanDownloader.Tivso.C
Nombre NOD32: JS/TrojanDownloader.Tivso.C
Tipo: Caballo de Troya
Alias: Tivso.C, JS_FEEBS.I, JS/Downloader.L, JS/Feeb, JS/Kmax.gen@MM, W32.Feebs, TrojanDownloader.Tivso.C, JS/Feebs.AV!tr, JS/Ider.A.worm, JS/Kmax.gen@MM, JS/TrojanDownloader.Tivso.C, Win32.HLLM.Graz, Win32.Worm.Feebs.JS.D, Worm.Feebs.o, Worm.Win32.Feebs., Worm.Win32.Feebs.gen, Worm.Win32.Feebs.o, Worm/Feebs, Worm/Feebs.Gen.C, JS/TrojanDownloader.Tivso.C
Fecha: 20/ene/06
Plataforma: Windows 32-bit
Tamaño: 3,191 bytes

Se trata de un caballo de Troya en JavaScript, del tipo downloader (descargador de archivos), embebido en un archivo HTML con extensión HTA, que simula ser de Hotmail.

Se ha reportado como enviado como adjunto en forma de spam masivo, vía correo electrónico.

El código en JavaScript descarga de Internet el componente principal de algunas variantes del gusano Win32/Mocalo. También puede encintrarse como página HTML en ciertos sitios maliciosos.

Cuando se ejecuta, muestra una página de descarga con el título de HotMail.com. Al mismo tiempo, despliega un mensaje avisando que no hay una conexión a Internet disponible, haciéndole creer al usuario que no se ha podido completar la operación de descarga. Mientras ello ocurre, el código malicioso del gusano (al momento de esta descripción una variante del Win32/Mocalo), ha sido descargado y ejecutado en el equipo.

Las direcciones a las que intenta conectarse son las siguientes:

http: // hpm.s????eburg .com
http: // hynvt????dqv.newmail .ru
http: // ilove????5.t35 .com
http: // kool.????b .ru
http: // xup.h????2 .ru

El archivo descargado de Internet, es almacenado con alguno de los siguientes nombres:

c:\command.exe
c:\recycled\userinit.exe

NOTA: No confundir con C:\COMMAND.COM

Este componente, intentará eliminar las siguientes entradas del registro:

HKLM\SYSTEM\CurrentControlSet\Services\FirePM
HKLM\SYSTEM\CurrentControlSet\Services\KmxFile
HKLM\SYSTEM\CurrentControlSet\Services\pcipim
HKLM\SYSTEM\CurrentControlSet\Services\pcIPPsC
HKLM\SYSTEM\CurrentControlSet\Services\RapDrv

Puede crear además, la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows:

HKLM\SOFTWARE\Microsoft
\Active Setup\Installed Components
\{CD5AC91B-AE7B-E83A-0C4C-E616075972F3}
Stubpath = "[nombre del ejecutable]"


Más información e instrucciones de limpieza:

Mocalo. Utiliza e-mail y P2P, deshabilita firewall
http://www.vsantivirus.com/mocalo.htm






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS