| W32/Rbot.FUB |
|
| Nombre: |
W32/Rbot.FUB |
| Tipo: | Gusano |
| Tamaño: | Variable |
| Origen: | Internet |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
| Detección y eliminación: |
The Hacker 6.0 al 30/10/2006. |
W32/Rbot.FUB, es un gusano residente en memoria tiene característica de troyano backdoor, se difunde a través de los recursos compartidos de la red, permite el acceso remoto y no permitido de un intruso a la computadora infectada a través del IRC.
El gusano también se aprovecha de las siguientes vulnerabilidades:
Cuando el gusano se ejecuta se copia a si mismo dentro de:
%windows%\mssmp.exe
Nota:
- %windows% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT)
Además modifica las siguientes entradas en el registro para poder ejecutarse en cada inicio del sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Microsoft Security Monitor Process"="%windows%\mssmp.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
"Microsoft Security Monitor Process"="%windows%\mssmp.exe"
También modifica la siguiente entrada:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\OLE
"Microsoft Security Monitor Process"="%windows%\mssmp.exe"
El gusano se difunde a través de recursos compartidos, utilizando una relación de usuarios y contraseñas, Si el gusano logra acceder se copiará y ejecutará a si mismo en el sistema atacado.
Finalmente el gusano intentará establecer comunicación con un determinado servidor IRC, si logra conectarse queda a la espera de recibir ordenes remotas del atacante, las ordenes podrían realizar las siguientes acciones.
Derechos reservados 1992/2006 HackSoft S.R.L. Lima-Perú