W32/PoeBot.lz

W32/Poebot.LZ

Nombre:	W32/Poebot.LZ Alias: WORM_SDBOT.EEU, Backdoor.Win32.Rbot.cfo, W32/Poebot-LZ
Tipo:	Gusano
Tamaño:	Variable
Origen:	Internet
Destructivo:	NO
En la calle (in the wild):	SI
Detección y eliminación:	The Hacker 6.1 al 15/06/2007.

W32/Poebot.LZ, es un gusano residente en memoria, se difunde a través de los recursos compartidos de la red, permite el acceso remoto y no permitido de un intruso a la computadora infectada a través del IRC.

El gusano también se aprovecha de las siguientes vulnerabilidades:

Vulnerabilidad LSASS Buffer Overrun, descrito en el boletín de seguridad MS04-011 de Microsoft:

Cuando el gusano se ejecuta se copia a si mismo como:

%system%\winamp.exe

Nota:

%system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32)

Además modifica la siguiente entrada en el registro para poder ejecutarse en el siguiente reinicio del sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Winamp Agent"="%system%\winamp.exe"

El gusano se difunde a través de recursos compartidos, utilizando una relación de usuarios y passwords, Si el gusano logra accesar se copiará y ejecutará a si mismo en el sistema atacado.

Finalmente el gusano realiza las siguientes acciones:

Robar información del computador atacado.
Descargar y ejecutar archivos.
Finalizar procesos activos.
Realizar escaneo de puertos
Realizar ataques de Denegación de Servicio (D.o.S)