« en: Lunes 31 de Octubre de 2005, 18:39 »
0
Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta:31-10-2005
Última Actualización:31-10-2005
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Rbot.AUL
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:W32/Rbot-AUL (Sophos), Backdoor.Win32.Rbot.gen (Kaspersky (viruslist.com))
Detalles
Al ejecutarse por primera vez, Rbot.AUL se copia en [Carpeta de Sistema]\msnwindows.exe.
Las entradas en el registro serán creadas para ejecutar msnwindows.exe al inicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
System Service = msnwindows.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
System Service = msnwindows.exe
Las entradas en el registro serán creadas de la siguiente manera:
HKCU\Software\Microsoft\OLE
System Service = msnwindows.exe
HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM = N
Esto impide que otros gusanos exploten la vulnerabilidad DCOM
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous = 1
Esto impide que otros gusanos exploten la vulnerabilidad LSASS.
El pasado son solo recuerdos, el futuro son solo sueños
