W32/Ganbate
Ganbatees un gusano residente en memoria reportado el 29 de Mayo del 2007 que se propaga a través de servicios de Internet e infecta la raíz de todas las unidades de disco removibles y de recursos compartidos. Deshabilita algunas funciones del sistema operativo.
Infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está está programado en Visual C++ con 44KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
http://upx.sourceforge.net
Al activarse muestra la siguiente falsa caja de diálogo:
y se copia a las siguientes rutas, con los nombres:
- %System%\HistoryJMTi.exe
- %Windir%\Help\HistoryJMTi.exe
- %Windir%\security\Database\regedit.exe
- %Windir%\security\Database\msagent.exe
- %SystemDrive%\HistoryJMTi.exe
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
%SystemDrive% representa a la unidad donde Windows se encuentra instalado, que por defecto es la unidad C:\
para ejecutarse la próxima vez que se re-inicie el sistema crea las llaves:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“ccctp” = “%Systems%\HistoryJMTi.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“regedit” = “%Windir%\security\Database\regedit.exe”
Para deshabilitar el Administrador de Tareas crea la sub-llave:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“DisableTaskMgr” = “1″
Para ocultar ciertos procesos del gusano, libera y ejecuta el siguiente archivo .BAT:
%Windir%\inf\data86.bat
El gusano libera y copia el archivo HistoryJMTi.exe en la carpeta %System% y crea un autorun.inf para activar este archivo cada vez que se acceda a la carpeta de la ruta:
%Windir%\security\Database\autorun.inf
crea además los siguientes archivos en la ruta:
%SystemDrive%\Documents and Settings\All Users\Desktop\HistoryJMTi.txt
%SystemDrive%\HistoryJMTi.txt
El gusano se se copia a la raíz de las unidades de disco removibles y a la de recursos compartidos:
[Unidad_de_disco]\HistoryJMTi.exe
Para activarse cada vez que un disco removible es usado en otro sistema, el gusano copia y ejecuta el autorun.inf en todas las unidades de disco removibles y en las de recursos compartidos:
[Unidad_de_disco]\autorun.inf
PER ANTIVIRUS® versión 10.1 con registro de virus al 29 de Mayo del 2007 detecta y elimina eficientemente este gusano.
FUENTE: perantivirus.com
Gracias por leer este post.Ahora puede
dejar su Comentario (0) o
enlazarnos.
Leer más
Post Relacionados:
Related Post
- Spoofing durante autentificación básica HTTP en IE7
- Falso correo con captura de Bin Laden
- Un gusano infecta PCs recodificando archivos MP3 de las P2P
- Ahora, Nuwar se viste de antispyware
- Otro viaje en el tiempo: el gusano MyDoom
- Nuwar vuelve a la carga
- Nueva vulnerabilidad en Flash amenaza Internet
- Netsky: peligrosamente insistente
- Riesgo elevado en la navegación por Internet
- Internet tiene agujeros negros por donde desaparece información
- El gusano April Fool Storm ataca el correo de las PCs
- El mejor antivirus entre las ediciones de 2008 para Windows XP SP2 y SP3
- Vulnerabilidad en IE al enviar archivos a Internet
- MSN y Live Messenger: Guía para mantenerse al día
- DoS en Windows Explorer mediante imágenes PNG
- Cuidado si recibes un correo con un parche denominado MS06-602
- Windows Live Messenger 8.1 vulnerable a ataques
- Vulnerabilidad XSS en Google Search Appliance
- Hackers usan juegos online como carnada para robar datos
- Actualización de más de 20 vulnerabilidades en productos VMWare
- Websense alerta sobre código malicioso
- Posible vulnerabilidad en lectores de archivos PDF
- Ejecución de código no corregida por parche MS07-012
- Ejecución de código vía Internet Explorer y QuickTime
- Puertas traseras en archivos de Windows Media
- Revelación de información en Adobe Connect Enterprise Server 6
- El robo de contraseñas sigue en aumento
- Expertos advierten contra Google Docs
- Nuevo gusano se propaga vía Skype
- Aumentan sitios Web con servicios engañosos
- Ejecución de código en Media Player Classic (.AVI)
- Como borrar de manera rápida el gusano de Skype
- Ejecución de código vía Firefox y QuikTime plugin
- Alerta por un troyano que se difunde por MSN Messenger
- Ser anónimos en la red, no protege nuestros secretos
- Skype advierte a sus usuarios de un nuevo gusano que se está extendiendo mediante el IM de su aplicación
- nCleaner… tu Windows siempre limpio de archivos innecesarios
- Tor sin cifrado: El metodo utilizado para obtener las contraseñas de las embajadas
- Ejecución de código con Yahoo! Widgets Engine
- Vulnerabilidad en autenticación no encriptada
- Red zombi es más potente que los superordenadores “top 10″
- McAfee revela tácticas y tipos de delitos en Internet
- Vulnerabilidades en Cisco Video Surveillance IP Gateway y en el Content Switch Module para los Catalyst 6500
- Una nueva táctica, el mismo gusano
- Ejecución de código en Apple iTunes anteriores a 7.4
- Boletines de Microsoft, en setiembre solo uno crítico
- Movistar, víctima del Phishing
- Las 8 tecnologías de consumo más peligrosas
- Aplicaciones dudosas, afirmaciones falsas
- BitDefender detecta el 99.51% del malware
- Un perro con dos patas… y un troyano, informa PandaLabs
- Norton Removal Tool 2008.0.1.14… desístala los productos de Norton sin problemas
- Yahoo! Messenger, desbordamiento en YVerInfo.dll
- Verifica si una página web es segura o potencialmente peligrosa
- Video real de YouTube, es el disfraz para un troyano
- Sony vuelve a ser noticia con sus rootkits
- Colabora
- El Spam que te invita a ver un video de YouTube… y te descarga una docena de software maligno.
- 1.200 dólares bastan para convertirse en un ciber-delincuente
- Sobre RegisteredLetter.A
- La noche de las dos lunas (Hoax sobre Marte)
- Aumentan los ataques de smishing a celulares
- Troyano ataca a usuarios de Monster.com
- Apophis gestiona datos confidenciales de más de 30.000 usuarios
- Phising: Cuidado con ‘gmailupgrades.com’
- Spam con gusano que cambia cada 30 minutos
- Piratas informáticos roban los datos de miles de usuarios de Monster.com
- Vulnerabilidad en Lhaz 1.33
- FraudTool.SpyHeal.A. Simula ser un antispyware
- Tarjeta de felicitación incluye troyano
- Opera 9.23 soluciona vulnerabilidad crítica
- Vulnerabilidad crítica en Yahoo! Messenger
- CCleaner 2.0 beta en un USB y compatible con Vista
- Reloj barato a la venta
- Compran al antivirus ClamAV
- Como obtener información de los procesos que corren en Windows
- Cientos de sitios explotan ya el bug “compartido”
- Detuvieron al troyano pero después de crear más de 600 mil cuentas
- Cómo delincuentes informáticos roban datos personales
- Microsoft publica nueve boletines
- La nueva beta de Panda AdminSecure ofrece protección para el servidor de correo Microsoft Exchange Server 2007
- Cerca de 30.000 páginas web son infectadas cada día y más de la mitad se alojan en servidores Apache, según un estudio
- Error de diseño permite escanear puertos con Flash
- Malware caducado.
- PandaLabs descubre nuevo troyano
- Websense lanza sistema de advertencia para amenazas Web 2.0
- Gigantesca red zombi está lista para atacar
- En agosto, seis boletines críticos, tres importantes
- Malware 2.0
- DoS en Windows Media Player al reproducir archivos AU
- Antivirus: rendimiento vs. protección
- DoS en Windows Explorer con imágenes JPG malformadas
- Nuevo virus borra archivos MP3 del disco duro
- Para los ‘hackers’, las ‘cookies’ son una mina
- Internet es tierra fértil para un desastre en materia de seguridad
- Ofuscación de barra de estado en Firefox 2.0.0.6
- Un gusano que parchea vulnerabilidades de Wordpress
- Denegación de servicio y cross site scripting en Apache HTTP Server
- BitDefender Total Security 2008 Beta 2
- Trojan Remover 6.4.9
- Crece la vulnerabilidad de las aplicaciones Web
- Los “magos” de la seguridad informática se reúnen en Las Vegas
- Firefox 2.0.0.6 resuelve el problema de los URIs
- Una herramienta gratuita para limpiar la PC
- Security Cloak: enmascarando tu Windows
- Mozilla Firefox: Vulnerabilidad en filtrado de URIs
- Abuso en los protocolos registrados por Mozilla
- Spam, listas negras y “SpamCops”. Conoce si tu e-mail o IP están “marcadas”
- Trillian 3.1.7.0 resuelve vulnerabilidad crítica
- Firefox 2.0.0.5 resuelve ocho vulnerabilidades
- Opera 9.22 corrige varios problemas de seguridad
- Thunderbird 2.0.0.5 corrige dos vulnerabilidades
- El virus Commwarrior ha infectado ya a 115.000 teléfonos móviles
- Kaspersky Lab detecta una nueva versión de Gpcode.
- Ejecución de código en Internet Explorer (Trillian)
- No terminan del todo con Vista, pero ya ponen fecha a Vienna
- Actualización crítica para Adobe Flash Player
- Resumen sobre la vulnerabilidad detectada en el Firewall de Windows Vista
- Trend Micro anuncia OfficeScan 8.0
- Posible vulnerabilidad en el kernel de Windows Vista
- Indispensable Top Five de los virus que nos torturaron en junio de 2007
- Vulnerabilidades críticas en Photoshop CS2 y CS3
- Vulnerabilidad en Java
- Vulnerabilidades críticas en Flash Player
- Falsas alertas de virus
- Bug crítico en Firefox vía Explorer.
- Vulnerabilidad en Yahoo! Messenger 8.1 a la venta
- Se anuncia un posible 0-Day para .NET Framework
- Los trucos psicológicos de los hackers para engañar
- Correo de Harry Potter propaga virus informático
- Ola de spam sobre el 4 de julio, propaga troyano
- La tarjeta virtual sigue atacando
- Virus informáticos para jefes
- Firefox, falsificación de foco en selección de evento
- El aviso de un parche de seguridad de Microsoft esconde un troyano
- Una risa contagiosa
- El aumento de spam con adjuntos PDF y su peligro.
- La amenaza de los ordenadores parlantes.
- Troyano simula ser actualización crítica de Microsoft
- Detienen en Valencia al creador del primer virus para móviles
- Desarrollan una nueva tecnología de sincronización que mejora la eficiencia de la clusterización de los cortafuegos
- Página falsa para descargar Adobe Shockwave Player
- Resaca del ataque masivo a través de webs comprometidas
- PandaLabs descubre una nueva herramienta maliciosa que permite a los hackers controlar redes de bots.
- Virus informáticos ´nominados´ en el mes de mayo 2007.
- Un troyano que envía SMS Premium cada 15 segundos
- Se ha detectado una nueva versión de esta herramienta que puede ser adquirida en Internet por unos 1000 dólares.
- Phishing para usuarios de Skype y otros engaños
- El malware vuelve a crecer con 9.500 páginas webs infectadas cada día
- Gusanos de propagación masiva para MSN Messenger
- Malware empaquetado y a la venta
- BBVA, adelante… pero no se precipite
- Panda descubre un virus que utiliza un video de YouTube para propagarse
- UTM de SonicWALL proteje contra gusano BadBunny-A
- Los servidores IIS presentan la mayor cantidad de virus
- Ataque a dreamhost spam y distribucion de malware
- Los 10 puntos de ejecución más comunes del malware en el registro de Microsoft Windows
- Aviso falso sobre boletines de Microsoft
- Información de ejecuciones automáticas: system32.exe
- No lo detecta y es un malware
- Actualizaciones de seguridad para Sun Java
- Como estas!! tanto tiempo!! (y que tal si te infectas)
- El spam con imágenes desborda los buzones de entrada
- Vulnerabilidad relacionada con complementos de Firefox
- Comunidad de noticias Reddit redirige a sus visitantes a una infección
- Troyano móvil envía costosos SMS a Rusia
- Actualización de seguridad para QuickTime 7.1.6
- El grupo Rock Phish dispara el número de ataques phishing en el mundo
- La IETF aprueba DomainKeys Identified Mail
- Denegación de servicio en DirectX Media (DXTMSFT.DLL)
- Nueva vulnerabilidad 0day en Firefox
- Advierten de la amenaza en internet más reciente: La Ingeniería Social
- Informe semanal de Panda Software sobre virus e intrusos
- Piratas del Caribe en versión troyano.
- EEUU sanciona ley antispam, pero no parece suficiente
- AntiSpywares sospechosos o no confiables 4/may/07
- Ejecución de código a través de productos Zone Alarm
- Detalles y evolución de la vulnerabilidad RPC/DNS de Microsoft Windows
- Listado de Codecs falsos
- WordPress: de nuevo un servidor de descarga oficial comprometido
- Encuentran vulnerabilidades de carácter crítico en Google Desktop
- Spywares
- Información
