w32/rbot.bht

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/rbot.bht

w32/rbot- bht, backdoor.win32.rbot.alt, worm_sdbot.ctv

tipo: gusano
tama?o: variable
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.9 al 03/01/2006
w32/rbot.bht, es un gusano residente en memoria tiene caracter?stica de troyano backdoor, se difunde a trav?s de los recursos compartidos de la red, permite el acceso remoto y no permitido de un intruso a la computadora infectada a trav?s del irc.
el gusano tambi?n se aprovecha de las siguientes vulnerabilidades:
vulnerabilidad lsass buffer overrun , descrito en el bolet?n de seguridad ms04-011 de microsoft. vulnerabilidad rpc/dcom descrita en el bolet?n de seguridad ms04-012 de microsoft. cuando el gusano se ejecuta se copia a si mismo dentro de:
system \mstools1.exe
nota:
system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32)
adem?s modifica las siguientes entradas en el registro para poder ejecutarse en cada inicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
microsoft service tools= system \mstools1.exe
hkey_local_machine\software\microsoft\windows\currentversion\runservices
microsoft service tools= system \mstools1.exe
hkey_current_user\software\microsoft\windows\currentversion\run
microsoft service tools= system \mstools1.exe
hkey_current_user\software\microsoft\windows\currentversion\runservices
microsoft service tools= system \mstools1.exe
tambi?n modifica la siguiente entrada:
hkey_current_user\software\microsoft\ole
microsoft service tools= system \mstools1.exe
hkey_local_machine\software\microsoft\ole
microsoft service tools= system \mstools1.exe
hkey_local_machine\system\currentcontrolset\control\lsa
microsoft service tools= system \mstools1.exe
hkey_current_user\system\currentcontrolset\control\lsa
microsoft service tools= system \mstools1.exe
el gusano se difunde a trav?s de recursos compartidos, utilizando una relaci?n de usuarios y contrase?as, si el gusano logra acceder se copiar? y ejecutar? a si mismo en el sistema atacado.
finalmente el gusano intentar? establecer comunicaci?n con un determinado servidor irc, si logra conectarse queda a la espera de recibir ordenes remotas del atacante, las ordenes podr?an realizar las siguientes acciones.
descargar y ejecutar archivos. robar informaci?n del computador atacado. finalizar programas relacionados a programas de seguridad, firewalls y antivirus. realizar ataques distribuidos de denegaci?n de servicio (ddos) capturar pulsaciones del teclado
1992/2005


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo