w32/kelvir.k

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/kelvir.k

w32.kelvir.k
tipo: gusano
tama?o: 151,013 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.7, registro de virus al 01/04/2005
w32/kelvir.k , es un gusano que se difunde explotando vulnerabilidades en el sistema operativo y a trav?s del msn messenger, env?a un mensaje a todos los contactos con una direcci?n url maliciosa:
http://[xxxxxxxxxxxxx]/bigjump.com
si se accesa a dicho enlace el gusano descarga dos archivos y lo guarda en en la siguiente ubicaci?n:
programfiles \mss\sex.exe programfiles \mss\own.exe [variante del gusano w32/spybot] cuando la variante del gusano w32/spybot, es ejecutado se copia a si mismo dentro de la carpeta system con atributos de oculto, lectura y sistema.
system \msnmgsr.exe adem?s adiciona las siguientes entradas en el registro para poder ejecutar la variante del gusano w32/spybot en cada inicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
microsoft system services= system \msnmgsr.exe
hkey_local_machine\software\microsoft\windows\currentversion\runservices
microsoft system services= system \msnmgsr.exe
hkey_current_user\software\microsoft\windows\currentversion\run
microsoft system services= system \msnmgsr.exe
tambi?n modifica los siguientes valores en el registro:
hkey_local_machine\software\microsoft\ole
enabledcom=n
hkey_local_machine\system\currentcontrolset\control\lsa
restrictanonymous=0x1
seguidamente el gusano tambi?n se difunde aprovechando las siguientes vulnerabilidades en el sistema operativo:
vulnerabilidad lsass buffer overrun , descrito en el bolet?n de seguridad ms04-011 de microsoft: vulnerabilidad dcom rpc , descrito en el bolet?n de seguridad ms03-026 de microsoft. vulnerabilidad buffer overrun in the workstation service could allow code execution , descrito en el bolet?n de seguridad ms03-049 de microsoft. finalmente el gusano intentar? copiarse a si mismo en todos las carpetas compartidas que encuentre en la red.
el gusano tambi?n puede realizar las siguientes acciones:
abrir una puerta trasera para permitir el acceso no autorizado de un atacante remoto al sistema. robar claves de activaci?n de cd de juegos. finalizar procesos y servicios. instalar keylogger. (captura pulsaciones del teclado) utilizar el computador atacado como un proxy realizar ataques de inundaci?n.
1992/2005


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo