w32/nochod

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/nochod

w32/nochod@mm!74752, w32/chode-q, backdoor.win32.landis.q, virkel.f
tipo: gusano
tama?o: 74,752 bytes
origen: internet
destructivo: no en la calle (in the wild): si detección y eliminación: the hacker 5.9, registro de virus al 28/12/2005
w32/nochod@mm , es un gusano que se difunde a trav?s de msn messenger enviando un enlace de una direcci?n url en el mensaje, dicho mensaje anuncia una nueva versi?n disponible del msn messenger. si el usuario accede al enlace se descargar? y ejecutar? una copia del gusano en el computador atacado.
cuando el gusano se ejecuta se copia a s? mismo como
system \mxkvsadz\csrss.exe tambi?n crea los siguientes archivos
system \mxkvsadz\csrss.ini system \mxkvsadz\csrss.dat nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 )
adem?s modifica la siguiente entrada en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_current_user\software\microsoft\windows\currentversion\run
csrss= system \mxkvsadz\csrss.exe
hkey_current_user\software\microsoft\windows nt\currentversion\windows
run= system \mxkvsadz\csrss.exe
hkey_current_user\software\microsoft\windows nt\currentversion\windows
load= system \mxkvsadz\csrss.exe
hkey_local_machine\software\microsoft\windows\currentversion\run
csrss= system \mxkvsadz\csrss.exe
tambi?n modifica las siguientes entradas en el registro
hkey_current_user\software\microsoft\windows\currentversion\policies\system
disableregistrytools=1
hkey_current_user\software\microsoft\windows\currentversion\policies\system
noadminpage=1
hkey_current_user\software\microsoft\windows\currentversion\explorer\advanced
hidden=02, 00, 00, 00
el gusano tiene caracter?sticas de troyano, este intentar? conectarse a un servidor irc, si logra conectarse queda a la espera de recibir ordenes remotas de un atacante, las ordenes podr?an realizar las siguientes acciones:
manipular archivos del sistemas
finalizar procesos y aplicaciones
robar informaci?n del sistema
realizar ataques de inundaci?n como tcp, udp, smtp y http
descargar y ejecutar archivos
finalmente el gusano sobrescribe el archivo hosts que se encuentra en system \drivers\etc\ , para redireccionar direcciones urls al localhost (127.0.0.1)
1992/2005


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo