w32/dopbot

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/dopbot

w32.dopbot
tipo: gusano
tama?o: 43,008 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.7, registro de virus al 04/02/2005
w32/dopbot , es un gusano que se difunde aprovechando la vulnerabilidad dcom rpc , descrito en el bolet?n de seguridad ms03-026 de microsoft.
http://www.microsoft.com/technet/security/bulletin/ms03-026.asp
cuando el gusano se ejecuta, se copia a si mismo como:
system \rund1132.exe nota:
system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32)
adem?s adiciona las siguientes entradas en el registro para poder ejecutarse en cada inicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
rund1132.exe= system \rund1132.exe
hkey_current_user\software\microsoft\windows\currentversion\run
rund1132.exe= system \rund1132.exe
tambi?n modifica los siguientes valores en el registro para intentar bajar los niveles de seguridad en windows:
hkey_local_machine\software\microsoft\ole
enabledcom=y
hkey_local_machine\system\currentcontrolset\lsa
restrictanonymous=dword:00000000
hkey_local_machine\software\policies\microsoft\windows\windowsupdate
donotallowxpsp2=0x00000001
hkey_local_machine\software\microsoft\security center
antivirusdisablenotify=0x00000001
hkey_local_machine\software\microsoft\security center
firewalloverride=0x00000001
hkey_local_machine\software\microsoft\security center
antivirusoverride=0x00000001
hkey_local_machine\software\microsoft\security center
updatesdisablenotify=0x00000001
hkey_local_machine\software\microsoft\security center
firewalldisablenotify=0x00000001
hkey_local_machine\software\microsoft\windows\currentversion\windowsupdate\auto update
auoptions=0x00000001
hkey_local_machine\software\policies\microsoft\windowsfirewall\domainprofile
enablefirewall=0x00000000
hkey_local_machine\software\policies\microsoft\windowsfirewall\standardprofile
enablefirewall=0x00000000
hkey_local_machine\system\currentcontrolset\services\sharedaccess
start=0x00000004
hkey_local_machine\system\currentcontrolset\services\wuauserv
start=0x00000004
hkey_local_machine\system\currentcontrolset\services\wscsvc
start=0x00000004
seguidamente intentar? eliminar los siguientes recursos compartidos de la red:
c$ hasta la z$ admin$ ipc$ print$ luego descargar? y ejecutar? la actualizaci?n de seguridad de microsoft para la vulnerabilidad descrita en el siguiente boletin: http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
finalmente intentar? conectarse a un servidor irc en uno de los siguientes dominios:
dope.no-ip.info kolley.no-ip.info si logra establecer comunicaci?n, queda a la espera de recibir ordenes remotas del atacante, las ordenes podr?an realizar lo siguiente:
finalizar procesos activos. capturar pulsaciones del teclado. abrir, ejecutar y eliminar archivos. descargar archivos. realizar ataques distribuidos de denegaci?n de servicio (ddos) desinstalar el gusano. buscar otros computadores en la red.
1992/2005


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo