• Sábado 16 de Noviembre de 2024, 02:01

Autor Tema:  Rbot.amr  (Leído 1182 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Rbot.amr
« en: Lunes 5 de Septiembre de 2005, 17:38 »
0
Datos Técnicos
Peligrosidad: 3 - Media  
Difusión: Baja Fecha de Alta:05-09-2005
Última Actualización:05-09-2005
Daño: Alto
[Explicación de los criterios]
Dispersibilidad:  Alto
 
Nombre completo: Worm-Backdoor.W32/Rbot.AMR@RPC    
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [RPC] - Se propaga usando el protocolo RPC - Remote Procedure Call (típicamente aprovechando una vulnerabilidad en una implementación del protocolo)
Alias:W32/Rbot-AMR (Sophos)
Detalles
Al ejecutar Rbot.AMR por primera vez, se copia en [Carpeta de Sistema]\ms-dos.pif.

Las siguientes entradas en el registro se crean para ejecutar ms-dos.pif al inicio del sistema:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
MS-DOS Security Service = ms-dos.pif

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MS-DOS Security Service = ms-dos.pif

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
MS-DOS Security Service = ms-dos.pif

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
MS-DOS Security Service = ms-dos.pif

Rbot.AMR permite al atacante:
ejecutar comandos arbitrarios
iniciar un servidor FTP
robar datos confidenciales
descargar, instalar y ejecutar nuevos programas, incluyendo actualizaciones de su software
Las entradas en el registro se crearán de la siguiente manera:

HKCU\SYSTEM\CurrentControlSet\Control\Lsa
MS-DOS Security Service = ms-dos.pif

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
MS-DOS Security Service = ms-dos.pif

HKCU\Software\Microsoft\OLE
MS-DOS Security Service = ms-dos.pif

HKLM\SOFTWARE\Microsoft\Ole
MS-DOS Security Service

ms-dos.pif  
El pasado son solo recuerdos, el futuro son solo sueños