| W32/Rinbot.F |
|
| Nombre: |
W32/Rinbot.F Alias: WORM_RINBOT.F |
| Tipo: | Gusano |
| Tamaño: | 213,504 Bytes |
| Origen: | Internet |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
| Detección y eliminación: |
The Hacker 6.1 al 01/03/2007. |
Descripción:
W32/Rinbot.F, es un gusano con características de Backdoor, Este se difunde a través de Internet y se descarga en el computador al visitar sitios Web maliciosos o también puede ser copiado por otro Malware.
Cuando el gusano se ejecuta se copia a si mismo dentro de:
Nota:
- %system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32).
Además crea las siguientes entradas en el registro para poder ejecutarse en cada inicio del sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Random Interface Network"="%system%\rst.exe"
Seguidamente el gusano se difunde vía recursos compartidos en la red local, se copia a si mismo dentro de la carpeta compartida por defecto "IPC$", el gusano utiliza la siguiente relación de usuarios y passwords para obtener acceso a la carpeta compartida.
Además el gusano se aprovecha de la vulnerabilidad del SQL Server 7.0 Service Pack Password, descrito en el boletín de seguridad MS00-035 de Microsoft.
Finalmente el componente backdoor abre un puerto TCP aleatorio y queda a la espera de recibir ordenes remotas de un atacante, las ordenes podrían realizar las siguientes acciones:
Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú