Domingo 22 de Diciembre de 2024, 13:24
SoloCodigo
Bienvenido(a),
Visitante
. Por favor,
ingresa
o
regístrate
.
¿Perdiste tu
email de activación?
Inicio
Foros
Chat
Ayuda
Buscar
Ingresar
Registrarse
SoloCodigo
»
Foros
»
Informática en general
»
Seguridad y Criptografía
»
Virus
(Moderador:
RadicalEd
) »
Sdbot.bay
« anterior
próximo »
Imprimir
Páginas: [
1
]
Autor
Tema: Sdbot.bay (Leído 1687 veces)
RadicalEd
Moderador
Mensajes: 2430
Nacionalidad:
Sdbot.bay
«
en:
Jueves 24 de Agosto de 2006, 15:29 »
0
Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta: 23-08-2006
Última Actualización: 23-08-2006
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Sdbot.BAY
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:W32/Sdbot-BAY (Sophos)
Detalles
Sdbot.BAY está activo de forma continua en un segundo plano y proporciona un servidor de puerta trasera que permite a un usuario remoto acceder y controlar un ordenador a través de canales IRC.
Incluye funcionalidades para acceder a Internet y comunicarse con un servidor remoto vía HTTP.
Al ejecutarse por primera vez, se copia en %Windows%\msput.exe.
El archivo msput.exe se registra como un nuevo servicio de controlador de sistema con el nombre "Microsoft Startup Manager", y puede también ejecutarse de forma automática al inicio del sistema. Se crearán entradas en el registro en:
HKLM\SYSTEM\CurrentControlSet\Services\Microsoft Startup Manager\
Crea las siguientes entradas en el registro, lo que desactiva el inicio automático de cualquier otro programa:
HKLM\SYSTEM\CurrentControlSet\Services\Messenger
Start
4
HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry
Start
4
HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr
Start
4
Se crearán entradas en el registro de la siguiente manera:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
DoNotAllowXPSP2
1
HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM
N
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous
1
Se crearán entradas en el registro en:
HKLM\SOFTWARE\Microsoft\Security Center\
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\
Tweet
El pasado son solo recuerdos, el futuro son solo sueños
Imprimir
Páginas: [
1
]
« anterior
próximo »
SoloCodigo
»
Foros
»
Informática en general
»
Seguridad y Criptografía
»
Virus
(Moderador:
RadicalEd
) »
Sdbot.bay