w32/rbot.zm

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/rbot.zm

worm_rbot.zm

tipo: gusano
tama?o: 345,217 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.7 al 29/09/2004
w32/rbot.zm, es un gusano residente en memoria, se difunde a trav?s de los recursos compartidos de la red, permite el acceso remoto y no permitido de un intruso a la computadora infectada a trav?s del irc.
cuando el gusano se ejecuta se copia a si mismo como:
system \wimsqaad.exe
nota:
system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32)
adem?s modifica una entrada en el registro para poder ejecutarse en el siguiente reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
miosf update= system \wimsqaad.exe
hkey_local_machine\software\microsoft\windows\currentversion\runservices
miosf update= system \wimsqaad.exe
hkey_current_user\software\microsoft\windows\currentversion\runservices
miosf update= system \wimsqaad.exe
tambi?n modifica la configuraci?n en las siguientes entradas, cambi?ndolas a:
hkey_local_machine\software\microsoft\ole
enabledcom=n
hkey_local_machine\system\currentcontrolset
restrictanonymous=dword:00000001
el gusano se difunde a trav?s de los siguientes recursos compartidos:
c$\winnt\system32
c$\windows\system32
admin$\system32
utilizando una relaci?n de usuarios y passwords para poder establecer comunicaci?n con dichas direcciones. si el gusano logra accesar se copiar? y ejecutar? a si mismo en el sistema atacado.
seguidamente el gusano intentar? establecer comunicaci?n con un determinado servidor irc, si logra conectarse queda a la espera de recibir ordenes remotas del atacante, las ordenes podr?an realizar las siguientes acciones:
enviar información de la computadora y de la red a su creador. ejecuta comandos. actualizarse a si mismo. actuar como un servidor ftp y http. realizar ataques distribuidos de denegaci?n de servicio (ddos). el gusano tiene caracter?sticas de keylogger (captura pulsaciones del teclado), la informaci?n capturada la guarda en un archivo llamado ntfsdi.txt dentro de la carpeta system
finalmente roba las claves de cd de los siguientes juegos:
battlefield 1942 battlefield 1942 (road to rome) battlefield 1942 (secret weapons of wwii) battlefield vietnam black and white chrome command and conquer: generals command and conquer: generals (zero hour) command and conquer: red alert command and conquer: red alert 2 command and conquer: tiberian sun counter-strike (retail) fifa 2002 fifa 2003 freedom force global operations gunman chronicles half-life hidden & dangerous 2 igi 2: covert strike industry giant 2 james bond 007: nightfire legends of might and magic medal of honor: allied assault medal of honor: allied assault: breakthrough medal of honor: allied assault: spearhead nascar racing 2002 nascar racing 2003 need for speed hot pursuit 2 need for speed: underground neverwinter nights neverwinter nights (hordes of the underdark) neverwinter nights (shadows of undrentide) nhl 2002 nhl 2003 rainbow six iii ravenshield shogun: total war: warlord edition soldier of fortune ii - double helix soldiers of anarchy the gladiators unreal tournament 2003 unreal tournament 2004


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo