w32/dasher.d

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/dasher.d

w32.dasher.d
tipo: gusano
tama?o: 35,484 bytes
origen: internet
destructivo: no en la calle (in the wild): si detección y eliminación: the hacker 5.9, registro de virus al 20/12/2005.
w32/dasher.d, es un gusano residente en memoria, este se difunde aprovechando las siguientes vulnerabilidades de microsoft
vulnerabilidad de microsoft windows distibuted transaction coordinator exploit , descrita en el bolet?n de seguridad ms05-051 vulnerabilidad de microsoft windows plug and play , descrito en el bolet?n de seguridad ms05-039 vulnerabilidad de microsoft sql server user authentication remote , descrito en el bolet?n de seguridad ms02-056 cuando el gusano se ejecuta se copia a si mismo con todos sus componentes dentro de:
system \wins\sqlexp.exe system \wins\sqlexp1.exe system \wins\sqlexp2.exe system \wins\sqlexp3.exe system \wins\sqlscan.exe system \wins\sqltob.exe tambi?n crea los siguientes archivos:
system \wins\1433.txt system \wins\1025.txt system \wins\445.txt system \wins\42.txt system \wins\result.txt nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32)
adem?s el gusano crea la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
predeterminado= windows \wins\sqltop.exe
tambi?n modifica las siguientes entradas en el registro para bajar los niveles de seguridad del computador atacado:
hkey_local_machine\system\currentcontrolset\services\netbt\parameters
smbdeviceenabled=0
hkey_local_machine\system\currentcontrolset\services\msdtc
start=4
elimina la siguiente entrada en el registro:
hkey_local_machine\software\microsoft\windows\currentversion\run\windows update
tambi?n finaliza los siguientes procesos, algunos relacionados a programas de seguridad:
blackice.exe blackd.exe eghost.exe adam.esystem.exe iparmor.exe zonealarm.exe kpfwsvc.exe kpfwsvc.exe kavpfw.exe kavpfw.exe kvfw.exe rfwmain.exe rfwsrv.exe rfw.exe pfw.exe seguidamente el gusano genera un rango de direcciones ip en el formato [ip1].[ip2].1.1 hasta [ip1].[ip2].255.254.
donde: [ip1].[ip2], son n?meros aleatorios que cambian con los siguientes valores, 58, 59, 60, 61, 62, 80, 81, 82, 83, 84, 85, 130, 133, 140, 160, 162, 163, 165, 168, 193, 194, 195, 200, 202, 203, 210, 211, 213, 217, 218, 219, 220, 221, y 222.
finalmente si el gusano encuentra un sistema vulnerable, este env?a un exploit con una rutina de ejecuci?n, el cual establece comunicaci?n con la direcci?n ip 222.240.219.143, si se logra establecer comunicaci?n este queda a la espera de recibir ordenes remotas, las ordenes podr?an realizar las siguientes acciones
conectarse a un servidor ftp en la direcci?n ip 159.226.153.2 a trav?s del puerto tcp 21211 descargar y ejecutar archivos remotos.
1992/2005


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo