Strict Standards: Accessing static property Database::$database as non static in /home/manual/public_html/includes/class/Database.class.php on line 26
Manual informática de w32/bobax.b

w32/bobax.b

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/bobax.b

w32.bobax.b
tipo: gusano
tama?o: 21,504 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.6 al 17/05/2004 descripción:
w32/bobax.b , es un gusano que se aprovecha de la vulnerabilidad lsass buffer overrun, descrito en el bolet?n de seguridad ms04-011 de microsoft:
http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
los computadores infectados son utilizados para envi? masivo de emails.
cuando el gusano se ejecuta se copia a si mismo en:
system \[caracteres aleatorios].exe
nota:
system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 )
adem?s crea la siguiente entrada en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
[caracteres aleatorios]= system \[caracteres aleatorios].exe
tambi?n crea un archivo .dll de nombre aleatorio dentro de la carpeta temp , esta .dll contiene funcionalidades del gusano, adem?s el gusano inyecta al archivo .dll dentro del explorer.exe, lo cual puede provocar que este finalice inesperadamente.
seguidamente busca direcciones ip aleatoriamente e intenta conectarse a estas a trav?s del puerto tcp 5000, busca computadores con windows xp, si se logra establecer la comunicaci?n con alg?n computador, el gusano env?a instrucciones a trav?s del puerto tcp 445 del computador atacado aprovech?ndose de la vulnerabilidad lsass. utiliza http para forzar la conexi?n con el computador a trav?s de un puerto aleatorio y descargar una copia del gusano que guardar? en el computador remoto, seguidamente lo ejecutar?.
nota: adicionalmente este gusano puede ejecutarse en sistemas operativos windows 95/98/me/2000/2003 pero no los infecta; el gusano intentar? infectar sistemas vulnerables con windows xp que puedan conectarse desde estos equipos.
finalmente abre un n?mero de puertos aleatoriamente y queda a la espera de conexiones entrantes, el gusano utiliza su propia rutina de servidor smtp en estos puertos, de esta manera utiliza al computador infectado como un spam relay.


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo