w32/rbot.apf

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/rbot.apf

w32/rbot- apf, worm_rbot.cgt

tipo: gusano
tama?o: variable
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.8 al 27/09/2005.
w32/rbot.apf, es un gusano residente en memoria tiene caracter?stica de troyano backdoor, se difunde a trav?s de los recursos compartidos de la red, permite el acceso remoto y no permitido de un intruso a la computadora infectada a trav?s del irc.
el gusano tambi?n se aprovecha de las siguientes vulnerabilidades:
vulnerabilidad upnp notify buffer overflow descrito en el bolet?n de seguridad ms01-059 de microsoft. vulnerabilidad webdav vulnerability descrito en el bolet?n de seguridad ms03-007 de microsoft. vulnerabilidad lsass buffer overrun , descrito en el bolet?n de seguridad ms04-011 de microsoft. vulnerabilidad rpc/dcom descrita en el bolet?n de seguridad ms04-012 de microsoft. vulnerabilidad asn.1 library bit string processing variant heap corruption , descrito en el bolet?n de seguridad ms04-007 de microsoft. cuando el gusano se ejecuta se copia a si mismo dentro de:
system \winnsyst.exe
nota:
system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32)
adem?s modifica las siguientes entradas en el registro para poder ejecutarse en cada inicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
mscontrol31= system \winnsyst.exe
hkey_local_machine\software\microsoft\windows\currentversion\runservices
mscontrol31= system \winnsyst.exe
tambi?n modifica las siguientes entradas:
hkey_current_user\software\microsoft\ole
mscontrol31= system \winnsyst.exe
hkey_local_machine\system\currentcontrolset\control\lsa
restrictanonymous=1
hkey_local_machine\system\controlset001\control\lsa
restrictanonymous=1
el gusano se difunde a trav?s de recursos compartidos, utilizando una relaci?n de usuarios y contrase?as, si el gusano logra acceder se copiar? y ejecutar? a si mismo en el sistema atacado.
seguidamente el gusano intentar? establecer comunicaci?n con un determinado servidor irc, si logra conectarse queda a la espera de recibir ordenes remotas del atacante, las ordenes podr?an realizar las siguientes acciones.
descargar y ejecutar archivos. robar informaci?n del computador atacado. finalizar programas relacionados a programas de seguridad, firewalls y antivirus. finalmente el gusano intentar? eliminar cada 2 minutos los recursos compartidos en la red.
1992/2005


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo