TOP 5 Principales amenazas de escritorio

Alert level Trojan:Win32/Sirefef.AC.

El nivel de alerta 
grave

Trojan:Win32/Sirefef.AC es un componente de Win32/Sirefef- Una familia de varios componentes de malware que modera la experiencia de un usuario de Internet afectada por la modificación de los resultados de búsqueda, y genera de pago por clic en los ingresos por publicidad para sus controladores. La familia consta de varias partes que realizan diferentes funciones, tales como la descarga de actualizaciones y componentes adicionales, ocultando los componentes existentes, o la realización de la carga útil.

Trojan:Win32/Sirefef.AC es un programa de control de servicio (un servicio que se inicia y controla los servicios) que utiliza Win32/Sirefef, Responsable de iniciar o detener servicios de componentes maliciosos.

Los síntomas

No hay síntomas comunes asociados con esta amenaza. Las notificaciones de alerta de software antivirus instalado pueden ser los únicos síntomas.

Alert levelTrojan:JS/IframeRef

El nivel de alerta 
grave

Trojan:JS/IframeRef es la detección por JavaScript que trata de redirigir el navegador a otro sitio web.

Este JavaScript generalmente se encuentra en páginas web comprometidas a través de SQL Injection o por medio de ataques Blackhat search engine optimization (SEO)envenenamiento. Esta detección también puede ser provocada si la página web que contiene este script se almacena en la caché del navegador.

Si el usuario archiveros de un sitio web malicioso que contiene esta JavaScript, El navegador es redirigido a la siguiente URL:

dsnextgen.com/?epl=

En el momento de la publicación, el servidor es inaccesible.

Análisis por Ding Plazo

Los síntomas

Su navegador puede intentar abrir una página web con el servidor lo siguiente: “dsnextgen.com“.

Sin embargo, no hay síntomas comunes asociados con esta amenaza – los enlaces se activan en IFramesmientras se visualiza el contenido web en las páginas modificado de forma maliciosa. Las notificaciones de alerta de software antivirus instalado pueden ser los únicos síntomas.

Alert levelWorm:Win32/Conficker.B

El nivel de alerta 
grave

Worm:Win32/Conficker.B es un gusano que infecta a otros ordenadores en una red mediante la explotación de una vulnerabilidad en el Windows Server service (SVCHOST.EXE). Si la vulnerabilidad se explota con éxito, podría permitir la ejecución remota de código cuando uso compartido de archivos está habilitado. También puede propagarse a través de unidades extraíbles y las contraseñas de administrador débiles. Se desactiva varios servicios importantes del sistema y productos de seguridad.

Instalación

Worm:Win32/Conficker.B intenta copiarse en el Windows sistema de carpetas como ocultas DLLarchivo con un nombre aleatorio. Si el intento falla, entonces se puede intentar copiarse a sí mismo con los mismos parámetros en las siguientes carpetas:

  • % ProgramFiles% \ Internet Explorer
  • % ProgramFiles% \ Movie Maker

Crea la siguiente entrada de registro para asegurar que su copia se redujo cada vez que se ejecuta Windows Fecha de inicio:

En subclave: HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Establece el valor: “< cadena aleatoria > ”
Con los datos: ” rundll32.exe < carpeta de sistema > \ < nombre de archivo de malware .> dll, menores parámetros de malware > ”

También puede cargar el mismo como un servicio que se pone en marcha cuando el netsvcs grupo está cargado por el sistema de archivos svchost.exe .

También puede cargar en sí como un servicio falso por registrarse a sí mismo en la siguiente clave: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services

Se puede utilizar un nombre de pantalla que se crea mediante la combinación de dos de las siguientes cadenas:

  • Boot
  • Center
  • Config
  • Driver
  • Helper
  • Image
  • Installer
  • Manager
  • Microsoft
  • Monitor
  • Network
  • Security
  • Server
  • Shell
  • Support
  • System
  • Task
  • Time
  • Universal
  • Update
  • Windows

También puede combinar caracteres al azar para crear el nombre para mostrar.

Se propaga a través …

Recursos compartidos de red con contraseñas débiles
Worm:Win32/Conficker.B los intentos de infectar las máquinas dentro de la red.

En primer lugar, trata de dejar caer una copia de sí mismo en una de la máquina de destino ADMIN$ compartir con las credenciales del usuario actualmente conectado.

Si este método no tiene éxito, por ejemplo, el usuario actual no tiene los derechos necesarios, a continuación, en su lugar obtiene una lista de cuentas de usuario en la máquina objetivo. A continuación, intenta conectarse a la máquina de destino con cada nombre de usuario y las contraseñas débiles siguientes:

  • 00000000
  • 0000000
  • 00000
  • 0000
  • 000
  • 00
  • 0987654321
  • 0
  • 11111111
  • 1111111
  • 111111
  • 11111
  • 1111
  • 111
  • 11
  • 123123
  • 12321
  • 123321
  • 1234567890
  • 123456789
  • 12345678
  • 1234567
  • 123456
  • 12345
  • 1234
  • 1234abcd
  • 1234qwer
  • 123
  • 123abc
  • 123asd
  • 123qwe
  • 12
  • 1
  • 1q2w3e
  • 21
  • 22222222
  • 2222222
  • 222222
  • 22222
  • 2222
  • 222
  • 22
  • 2
  • 321
  • 33333333
  • 3333333
  • 333333
  • 33333
  • 3333
  • 333
  • 33
  • 3
  • 4321
  • 44444444
  • 4444444
  • 444444
  • 44444
  • 4444
  • 444
  • 44
  • 4
  • 54321
  • 55555555
  • 5555555
  • 555555
  • 55555
  • 5555
  • 555
  • 55
  • 5
  • 654321
  • 66666666
  • 6666666
  • 666666
  • 66666
  • 6666
  • 666
  • 66
  • 6
  • 7654321
  • 77777777
  • 7777777
  • 777777
  • 77777
  • 7777
  • 777
  • 77
  • 7
  • 87654321
  • 88888888
  • 8888888
  • 888888
  • 88888
  • 8888
  • 888
  • 88
  • 8
  • 987654321
  • 99999999
  • 9999999
  • 999999
  • 99999
  • 9999
  • 999
  • 99
  • 9
  • a1b2c3
  • aaa
  • aaaa
  • aaaaa
  • abc123
  • academia
  • access
  • account
  • admin123
  • admin12
  • admin1
  • Admin
  • adminadmin
  • administrator
  • anything
  • asddsa
  • asdfgh
  • asdsa
  • asdzxc
  • backup
  • boss123
  • business
  • campus
  • changeme
  • cluster
  • codename
  • codeword
  • coffee
  • computer
  • controller
  • cookie
  • customer
  • database
  • default
  • desktop
  • domain
  • example
  • exchange
  • explorer
  • file
  • files
  • foo
  • foobar
  • foofoo
  • forever
  • freedom
  • fuck
  • games
  • home123
  • home
  • ihavenopass
  • Internet
  • intranet
  • job
  • killer
  • letitbe
  • letmein
  • Login
  • lotus
  • love123
  • manager
  • market
  • money
  • monitor
  • mypass
  • mypassword
  • mypc123
  • nimda
  • nobody
  • nopass
  • nopassword
  • nothing
  • office
  • oracle
  • owner
  • pass123
  • pass12
  • pass1
  • pass
  • passwd
  • password123
  • password12
  • password1
  • Password
  • private
  • public
  • pw123
  • q1w2e3
  • qazwsx
  • qazwsxedc
  • qqq
  • qqqq
  • qqqqq
  • qwe123
  • qweasd
  • qweasdzxc
  • qweewq
  • qwerty
  • qwewq
  • root123
  • root
  • rootroot
  • sample
  • secret
  • secure
  • security
  • server
  • shadow
  • share
  • sql
  • student
  • super
  • superuser
  • supervisor
  • system
  • temp123
  • temp
  • temporary
  • temptemp
  • test123
  • test
  • testtest
  • unknown
  • web
  • windows
  • work123
  • work
  • xxx
  • xxxx
  • xxxxx
  • zxccxz
  • zxcvb
  • zxcvbn
  • zxcxz
  • zzz
  • zzzz
  • zzzzz

Si Win32/Conficker.B obtiene acceso correctamente a la máquina de destino, por ejemplo, si una combinación de cualquiera de los nombres de usuario obtenidos y una de las contraseñas anteriores permite a los privilegios de escritura en la máquina, entonces se copia a sí mismo una cuota de administración más accesible ADMIN$\System32\ < caracteres aleatorios >.dll.

Alert level Worm:Win32/Conficker.C

El nivel de alerta 
grave

Win32/Conficker.C es un gusano que infecta a otros ordenadores en una red mediante la explotación de una vulnerabilidad en el servicio Servidor de Windows (svchost.exe). Si la vulnerabilidad se explota con éxito, podría permitir la ejecución remota de código cuando uso compartido de archivos está habilitado. También puede propagarse a través de unidades extraíbles y las contraseñas de administrador débiles. Se desactiva varios servicios importantes del sistema y productos de seguridad.
Instalación
Win32/Conficker.C intenta copiarse a sí mismo en la carpeta de sistema de Windows como un archivo DLL oculta con un nombre aleatorio. Si el intento falla, entonces se puede intentar copiarse a sí mismo con los mismos parámetros en las siguientes carpetas:
% ProgramFiles% \ Internet Explorer
% ProgramFiles% \ Movie Maker
Crea la siguiente entrada de registro para asegurar que su copia caído se ejecuta cada vez que Windows se inicia:
Añade el valor: “< cadena aleatoria > ”
Con los datos: “rundll32.exe < carpeta del sistema > \ < nombre de archivo de malware .> dll, menores parámetros de malware > ”
Para subclave: HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
También puede cargar el mismo como un servicio que se pone en marcha cuando el netsvcs grupo está cargado por el sistema de archivos svchost.exe .
También puede cargar en sí como un servicio falso por registrarse a sí mismo en la siguiente clave:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services
Se puede utilizar un nombre de pantalla que se crea mediante la combinación de dos de las siguientes cadenas:
Boot
Center
Config
Driver
Helper
Image
Installer
Manager
Microsoft
Monitor
Network
Security
Server
Shell
Support
System
Task
Time
Universal
Update
Windows
También puede combinar caracteres al azar para crear el nombre para mostrar.
Los NETAPI32.DLL ‘parches Win32/Conficker en la memoria para prevenir la reinfección y la mayor explotación de la vulnerabilidad corregida por Microsoft Security Bulletin MS08-067 .
Se propaga a través …
Recursos compartidos de red con contraseñas débiles
Win32/Conficker.C intenta infectar máquinas en la red.
En primer lugar, trata de colocar una copia de sí mismo en una máquina de destino ADMIN $ de cuota de uso de las credenciales del usuario actualmente conectado.
Si este método no tiene éxito, por ejemplo, el usuario actual no tiene los derechos necesarios, a continuación, en su lugar obtiene una lista de cuentas de usuario en la máquina objetivo. A continuación, intenta conectarse a la máquina de destino con cada nombre de usuario y las contraseñas débiles siguientes:
123
1234
12345
123456
1234567
12345678
123456789
1234567890
123123
12321
123321
123abc
123qwe
123asd
1234abcd
1234qwer
1q2w3e
a1b2c3
admin
Admin
administrator
nimda
qwewq
qweewq
qwerty
qweasd
asdsa
asddsa
asdzxc
asdfgh
qweasdzxc
q1w2e3
qazwsx
qazwsxedc
zxcxz
zxccxz
zxcvb
zxcvbn
passwd
password
Password
login
Login
pass
mypass
mypassword
adminadmin
root
rootroot
test
testtest
temp
temptemp
foofoo
foobar
default
password1
password12
password123
admin1
admin12
admin123
pass1
pass12
pass123
root123
pw123
abc123
qwe123
test123
temp123
mypc123
home123
work123
boss123
love123
sample
example
internet
Internet
nopass
nopassword
nothing
ihavenopass
temporary
manager
business
oracle
lotus
database
backup
owner
computer
server
secret
super
share
superuser
supervisor
office
shadow
system
public
secure
security
desktop
changeme
codename
codeword
nobody
cluster
customer
exchange
explorer
campus
money
access
domain
letmein
letitbe
anything
unknown
monitor
windows
files
academia
account
student
freedom
forever
cookie
coffee
market
private
games
killer
controller
intranet
work
home
job
foo
web
file
sql
aaa
aaaa
aaaaa
qqq
qqqq
qqqqq
xxx
xxxx
xxxxx
zzz
zzzz
zzzzz
fuck
12
21
321
4321
54321
654321
7654321
87654321
987654321
0987654321
0
00
000
0000
00000
00000
0000000
00000000
1
11
111
1111
11111
111111
1111111
11111111
2
22
222
2222
22222
222222
2222222
22222222
3
33
333
3333
33333
333333
3333333
33333333
4
44
444
4444
44444
444444
4444444
44444444
5
55
555
5555
55555
555555
5555555
55555555
6
66
666
6666
66666
666666
6666666
66666666
7
77
777
7777
77777
777777
7777777
77777777
8
88
888
8888
88888
888888
8888888
88888888
9
99
999
9999
99999
999999
9999999
99999999
Si Win32/Conficker.C éxito accede a la máquina de destino, por ejemplo, si una combinación de cualquiera de los nombres de usuario obtenidos y una de las contraseñas anteriores permite a los privilegios de escritura en la máquina, entonces se copia a sí mismo una cuota de administración accesible como ADMIN $ \ System32 \ < caracteres aleatorios >. dll.

Alert levelVirus:Win32/Sality.AM

El nivel de alerta 
grave

Virus:Win32/Sality.AMes una variante de una familia de infección de archivos polimórfico que se dirigen a los archivos ejecutables de Windows con extensiones. SCR o EXE.. Se puede ejecutar una carga dañina que elimina archivos con determinadas extensiones y termina los procesos relacionados con la seguridad y servicios.

Los síntomas

Cambios en el sistema
Los cambios en el sistema siguientes pueden indicar la presencia de Virus:Win32/Sality.AM:
  • Los archivos infectados inesperadamente puede aumentar de tamaño
  • Las aplicaciones anti-virus y firewall puede dejar de funcionar.

Prevención

Siga los siguientes pasos para ayudar a prevenir la infección en su equipo:
  • Habilitar un firewall en su ordenador.
  • Obtenga las últimas actualizaciones de equipo para todo el software instalado.
  • Utilice un máximo al día el software antivirus.
  • Limitar los privilegios de usuario en el equipo.
  • Tenga cuidado al abrir archivos adjuntos y aceptar transferencias de archivos.
  • Tenga cuidado al hacer clic en enlaces a páginas web.
  • Evitar la descarga de software pirateado.
  • Protéjase contra los ataques de ingeniería social.
  • Utilice contraseñas seguras.

Para más información aquí.

Un comentario sobre “TOP 5 Principales amenazas de escritorio

  1. A mi me esta pasando lo del navegador que intenta abrir dsnextgen.com cuando quiero ingresar a paypal. A paypal solo puedo ingresar si busco paypal en google e ingreso desde alli. Ahora lo que me desconcierta es que en casa tengo 2 conexiones de internet y cuando quiero ingresar a paypal directamente con mi otra conexion entra sin ningun incnveniente utilizando la misma PC. Con eso puedo descartar que mi PC tenga algun virus?

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s