| W32/Rbot.ALM |
|
| Nombre: |
W32/Rbot.ALM |
| Tipo: | Gusano |
| Tamaño: | Variable |
| Origen: | Internet |
| Destructivo: | SI |
| En la calle (in the wild): | SI |
| Detección y eliminación: |
The Hacker 5.8 al 25/08/2005. |
W32/Rbot.ALM, es un gusano residente en memoria tiene característica de troyano backdoor, se difunde a través de los recursos compartidos de la red, permite el acceso remoto y no permitido de un intruso a la computadora infectada a través del IRC.
El gusano también se aprovecha de las siguientes vulnerabilidades:
Cuando el gusano se ejecuta se copia a si mismo dentro de las siguientes carpetas que el mismo crea:
%system%\mscnfg.exe
Nota:
%system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32)
Además modifica las siguientes entradas en el registro para poder ejecutarse en cada inicio del sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Microsoft Update 32"="%system%\mscnfg.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
"Microsoft Update 32"="%system%\mscnfg.exe"
También modifica las siguientes entradas:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
"restrictanonymous"="1"
HKEY_LOCAL_MACHINE\Software\Microsoft\OLE
"EnableDCOM"="N"
HKEY_CURRENT_USER\Software\Microsoft\OLE
"Microsoft Update 32"="%system%\mscnfg.exe"
HKEY_CURRENT_USER\Software\Microsoft\OLE
"Windows Update Service"="%system%\update32.pif"
El gusano se difunde a través de recursos compartidos, utilizando una relación de usuarios y passwords, Si el gusano logra accesar se copiará y ejecutará a si mismo en el sistema atacado.
Seguidamente el gusano intentará establecer comunicación con un determinado servidor IRC, si logra conectarse queda a la espera de recibir ordenes remotas del atacante, las ordenes podrían realizar las siguientes acciones.
Derechos reservados 1992/2005 HackSoft S.R.L. Lima-Perú