Sábado 21 de Diciembre de 2024, 10:52
SoloCodigo
Bienvenido(a),
Visitante
. Por favor,
ingresa
o
regístrate
.
¿Perdiste tu
email de activación?
Inicio
Foros
Chat
Ayuda
Buscar
Ingresar
Registrarse
SoloCodigo
»
Foros
»
Informática en general
»
Seguridad y Criptografía
»
Virus
(Moderador:
RadicalEd
) »
Rbot.wf
« anterior
próximo »
Imprimir
Páginas: [
1
]
Autor
Tema: Rbot.wf (Leído 1293 veces)
RadicalEd
Moderador
Mensajes: 2430
Nacionalidad:
Rbot.wf
«
en:
Lunes 21 de Febrero de 2005, 23:57 »
0
Peligrosidad: 3 - Media
Difusión: Baja Fecha de Alta:21-02-2005
Última Actualización:21-02-2005
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm.W32/Rbot.WF@LSASS
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [LSASS] - Gusano que se difundiende aprovechando la vulnerabilidad de LSASS (MS04-011) que afecta a Windows 2000 y XP.
Alias:W32/Rbot-WF (Sophos)
Detalles
Este gusano se difunde explotando las siguientes vulnerabilidades:
* DCOM (MS04-012)
* LSASS y IIS5SSL (MS04-011)
* WebDav (MS03-007)
* UPNP (MS01-059)
* Desbordamiento del buffer en ciertas versiones de DameWare (CAN-2003-1030)
Además intenta aprovecharse de:
* Servidores Microsoft SQL con contraseñas no seguras (por defecto)
* Agujeros abiertos por otros programas maliciosos
Al ejecutarse por primera vez, Rbot.WF se copia en la carpeta del sistema de Windows con el nombre SVCHOSTDLL.EXE y crea las siguientes entradas en el registro para activarse en el inicio del sistema:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
MSN Beta = SVCHOSTdll.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MSN Beta = SVCHOSTdll.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
MSN Beta = SVCHOSTdll.exe
El gusano estará activo en un segundo plano, lo que permite al troyano de puerta trasera acceder al equipo infectado a través de canales IRC.
Rbot.WF creará las siguientes entradas en el registro para desactivar DCOM y cerrar las restricciones en unidades IPC$:
HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM = N
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous = 1
Rbot.WF puede añadir y borrar unidades de red y usuarios en el equipo infectado.
Rbot.WF intentará terminar varios procesos como:
* bbeagle.exe
* d3dupdate.exe
* i11r54n4.exe
* irun4.exe
* msblast.exe,
* MSBLAST.exe
* msconfig.exe
* mscvb32.exe
* navapw32.exe
* navw32.exe
* netstat.exe
* PandaAVEngine.exe
* Penis32.exe
* rate.exe
* regedit.exe
* ssate.exe
* sysinfo.exe
* SysMonXP.exe
* teekids.exe
* wincfg32.exe
* taskmon.exe
* winsys.exe
* winupd.exe
* zapro.exe
* zonealarm.exe
Tweet
El pasado son solo recuerdos, el futuro son solo sueños
Imprimir
Páginas: [
1
]
« anterior
próximo »
SoloCodigo
»
Foros
»
Informática en general
»
Seguridad y Criptografía
»
Virus
(Moderador:
RadicalEd
) »
Rbot.wf