| W32/Rinbot.T |
|
| Nombre: |
W32/Rinbot.T Alias: W32.Rinbot.T |
| Tipo: | Gusano |
| Tamaño: | 211,968 Bytes |
| Origen: | Internet |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
| Detección y eliminación: |
The Hacker 6.1 al 06/03/2007. |
Descripción:
W32/Rinbot.T, es un gusano con características de Backdoor, Este se difunde a través de Internet y se descarga en el computador al visitar sitios Web maliciosos o también puede ser copiado por otro Malware.
Cuando el gusano se ejecuta se copia a si mismo dentro de:
Nota:
- %system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32).
Además crea las siguientes entradas en el registro para poder ejecutarse en cada inicio del sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Netbeans"="%system%\netbeans.exe"
Seguidamente el gusano se difunde vía recursos compartidos en la red local, se copia a si mismo dentro de la carpeta compartida por defecto "IPC$", el gusano utiliza la siguiente relación de usuarios y passwords para obtener acceso a la carpeta compartida.
Finalmente el componente backdoor intenta conectarse a un servidor IRC [crusade.godhatesfags.org] a través del puerto TCP 5767 y queda a la espera de recibir ordenes remotas de un atacante, las ordenes podrían realizar las siguientes acciones:
Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú