.Yok3R.
02-11-2003, 04:20
Delude es un troyano que está disponible en una página web. La página web contiene un código que usa una vulnerabilidad en Internet Explorer (MS03-032) para ejecutarse.
En la página de Microsoft se puede encontrar más información incluyendo un archivo fix (un archivo fix te ayuda a regresar todo a la normalidad).
Variante Delude.A
El código HTA está disponible en una página web que descarga un archivo "partyboy.exe" desde un sitio ftp y lo corre. Este archivo está empaquetado con UPX. Este es un archivo batch que fue compilado a un ejecutable binario (".exe") usando una herramienta BatToExe.
Cuando se ejecuta este cambia la página de inicio de Internet Explorer para buscar información en ese momento. Esto previene el acceso al los mayores motores de búsqueda como: Google, Yahoo, Lycos, MSN y AltaVista. Para hacer esto es remplazado por el siguiente archivo:
%windir%\system32\drivers\etc\hosts donde %windir% es el directorio de instalación de Windows.
Delure.B
Esta nueva variante es similar a Delude.A, pero usa un archivo AOLFIX.EXE en lugar de Partyboy.exe y cambia la dirección de servidor de nombre del registro causando que las demandas de DNS se dirijan hacia el host equivocado. Esto se hace vía un archivo del registro ("o.reg") que se descarga dentro del directorio de instalación de windows y se ejecuta.
Delude.b cambia la pagina de inicio a el motor de búsqueda de google.
Además Delude.B checa el sistema operativo Windows NT, 2000 o XP. En este caso dejará caer y ejecutará otro archivo del registro ("o2.reg") así como un script ("o.vbs"). Éstos intentan asegurarse que los cambios de servidor de nombre se han aplicado al sistema.
Los cambios hechos a los DNS pueden ser vistos y restaurados desde las propiedades de TCP/IP
Todos los registros y archivos scripts que Delude.B haya descargado son borrados después de su ejecución.
Al momento de escribir esta información , el parche arriba mencionado MS03-032 todavía no arregla la vulnerabilidad que Delude usa.
Escrito por una conocida mia de Microasist, Adriana Cabañas Hoyuela.
-Saludos- :)
En la página de Microsoft se puede encontrar más información incluyendo un archivo fix (un archivo fix te ayuda a regresar todo a la normalidad).
Variante Delude.A
El código HTA está disponible en una página web que descarga un archivo "partyboy.exe" desde un sitio ftp y lo corre. Este archivo está empaquetado con UPX. Este es un archivo batch que fue compilado a un ejecutable binario (".exe") usando una herramienta BatToExe.
Cuando se ejecuta este cambia la página de inicio de Internet Explorer para buscar información en ese momento. Esto previene el acceso al los mayores motores de búsqueda como: Google, Yahoo, Lycos, MSN y AltaVista. Para hacer esto es remplazado por el siguiente archivo:
%windir%\system32\drivers\etc\hosts donde %windir% es el directorio de instalación de Windows.
Delure.B
Esta nueva variante es similar a Delude.A, pero usa un archivo AOLFIX.EXE en lugar de Partyboy.exe y cambia la dirección de servidor de nombre del registro causando que las demandas de DNS se dirijan hacia el host equivocado. Esto se hace vía un archivo del registro ("o.reg") que se descarga dentro del directorio de instalación de windows y se ejecuta.
Delude.b cambia la pagina de inicio a el motor de búsqueda de google.
Además Delude.B checa el sistema operativo Windows NT, 2000 o XP. En este caso dejará caer y ejecutará otro archivo del registro ("o2.reg") así como un script ("o.vbs"). Éstos intentan asegurarse que los cambios de servidor de nombre se han aplicado al sistema.
Los cambios hechos a los DNS pueden ser vistos y restaurados desde las propiedades de TCP/IP
Todos los registros y archivos scripts que Delude.B haya descargado son borrados después de su ejecución.
Al momento de escribir esta información , el parche arriba mencionado MS03-032 todavía no arregla la vulnerabilidad que Delude usa.
Escrito por una conocida mia de Microasist, Adriana Cabañas Hoyuela.
-Saludos- :)