« en: Lunes 5 de Septiembre de 2005, 17:38 »
0
Datos Técnicos
Peligrosidad: 3 - Media
Difusión: Baja Fecha de Alta:05-09-2005
Última Actualización:05-09-2005
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Rbot.AMR@RPC
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [RPC] - Se propaga usando el protocolo RPC - Remote Procedure Call (típicamente aprovechando una vulnerabilidad en una implementación del protocolo)
Alias:W32/Rbot-AMR (Sophos)
Detalles
Al ejecutar Rbot.AMR por primera vez, se copia en [Carpeta de Sistema]\ms-dos.pif.
Las siguientes entradas en el registro se crean para ejecutar ms-dos.pif al inicio del sistema:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
MS-DOS Security Service = ms-dos.pif
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MS-DOS Security Service = ms-dos.pif
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
MS-DOS Security Service = ms-dos.pif
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
MS-DOS Security Service = ms-dos.pif
Rbot.AMR permite al atacante:
ejecutar comandos arbitrarios
iniciar un servidor FTP
robar datos confidenciales
descargar, instalar y ejecutar nuevos programas, incluyendo actualizaciones de su software
Las entradas en el registro se crearán de la siguiente manera:
HKCU\SYSTEM\CurrentControlSet\Control\Lsa
MS-DOS Security Service = ms-dos.pif
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
MS-DOS Security Service = ms-dos.pif
HKCU\Software\Microsoft\OLE
MS-DOS Security Service = ms-dos.pif
HKLM\SOFTWARE\Microsoft\Ole
MS-DOS Security Service
ms-dos.pif
El pasado son solo recuerdos, el futuro son solo sueños