w32/randex.e

Imagen biografía
Categoría: Troyanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/randex.e

irc-bbot, worm_rpcsdbot.a
tipo: gusano, troyano
tama?o: 24,064 bytes 43,520 bytes
origen: internet
destructivo: si en la calle (in the wild): si detecci?n y eliminación the hacker 5.5, registro de virus al 13/08/2003

w32/randex.e , es un gusano que se aprovecha de la vulnerabilidad dcom rpc , descrito en el bolet?n de seguridad ms03-026 de microsoft para difundirse a si mismo.
http://www.microsoft.com/technet/security/bulletin/ms03-026.asp
adem?s tiene caracteristicas de un troyano que permite el acceso remoto y no permitido de un intruso a la computadora infectada a través del irc, abre los puertos tcp 113, 4444 y el puerto udp 69.
cuando se ejecuta se copia a sí mismo dentro de la carpeta system :
system \nstask32.exe
system \winlogin.exe
adem?s tambi?n crea uno de los siguientes archivos dentro de la carpeta system
system \win32sockdrv.dll
system \yuetyutr.dll
luego se copia a si mismo con un nombre generado aleatoriamente dentro de la carpeta temp que se encuentra en la carpeta de windows.
además modifica una entrada en el registro para poder ejecutarse en el siguiente reinicio del sistema :
hkey_local_machine\software\microsoft\windows\currentversion\run
winlogon=winlogin.exe
tambi?n modifica las siguientes entradas en el registro con alguna de las siguientes entradas:
hkey_local_machine\software\microsoft\windows\currentversion\run
ndpldeamon=nstask32.exe
hkey_local_machine\software\microsoft\windows\currentversion\runonce
ndpldeamon=nstask32.exe
o
hkey_local_machine\software\microsoft\windows\currentversion\run
ndpldeamon=winlogin.exe
hkey_local_machine\software\microsoft\windows\currentversion\runonce
ndpldeamon=winlogin.exe
en sistemas operativos con windows nt/2000/xp el gusano crea la siguiente entrada en el registro para poder ejecutarse en el siguiente reinicio del sistema
hkey_local_machine\software\microsoft\windowsnt\currentversion\winlogon
shell=explorer.exe nstask32.exe
o
hkey_local_machine\software\microsoft\windowsnt\currentversion\winlogon
shell=explorer.exe winlogin.exe
en sistemas operativos con windows 95/98/me el gusano crea la siguiente entrada dentro del archivo system.ini
[boot]
shell=explorer.exe nstask32.exe
o
[boot]
shell=explorer.exe winlogin.exe


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo