w32/sdbot.cf

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/sdbot.cf

w32/forbot-cf, w32/sdbot.worm.gen

tipo: gusano
tama?o: 113,152 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.7 al 24/11/2004
w32/sdbot.cf, es un gusano residente en memoria, se difunde a trav?s de los recursos compartidos de la red, permite el acceso remoto y no permitido de un intruso a la computadora infectada a trav?s del irc.
el gusano tambi?n se aprovecha de la vulnerabilidad lsass buffer overrun , descrito en el bolet?n de seguridad ms04-011 de microsoft
cuando el gusano se ejecuta se copia a si mismo como:
system \svcshost.exe
nota:
system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32)
adem?s modifica las siguientes entradas en el registro para poder ejecutarse en el siguiente inicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
microsoft windows update= system \svcshost.exe
hkey_local_machine\software\microsoft\windows\currentversion\runonce
microsoft windows update= system \svcshost.exe
hkey_local_machine\software\microsoft\windows\currentversion\runservices
microsoft windows update= system \svcshost.exe
hkey_current_user\software\microsoft\windows\currentversion\run
microsoft windows update= system \svcshost.exe
hkey_current_user\software\microsoft\windows\currentversion\runonce
microsoft windows update= system \svcshost.exe
el gusano genera aleatoriamente un rango de direcciones ip e intentar? conectarse utilizando una relaci?n de usuarios y passwords para poder establecer comunicaci?n con dichas direcciones. si el gusano logra accesar se copiar? y ejecutar? a si mismo en el sistema atacado.
seguidamente el gusano intentar? establecer comunicaci?n con un determinado servidor irc, si logra conectarse queda a la espera de recibir ordenes remotas del atacante, las ordenes podr?an realizar las siguientes acciones:
enviar información de la computadora y de la red a su creador. borrar unidades compartidas de red. ejecutar comandos. actualizarse a si mismo. iniciar un servidor ftp y http. realizar ataques distribuidos de denegaci?n de servicio (ddos). cerrar sesi?n del usuario autentificado. reiniciar y apagar el sistema. iniciar un servidor proxy socks4, socks5 o tcp. tambi?n roba las claves de los siguientes juegos y aplicaciones
net messenger service aol instant messenger battlefield 1942 battlefield 1942 (road to rome) battlefield 1942 (secret weapons of wwii) battlefield vietnam black and white call of duty command and conquer: generals command and conquer: generals (zero hour) command and conquer: red alert 2 command and conquer: tiberian sun counter-strike fifa 2002 fifa 2003 freedom force global operations gunman chronicle half-life hidden & dangerous 2 igi 2: covert strike industry giant 2 james bond 007: nightfire medal of honor: allied assault medal of honor: allied assault: breakthrough medal of honor: allied assault: spearhead microsoft windows product id nascar racing 2002 nascar racing 2003 need for speed hot pursuit 2 need for speed: underground neverwinter nights nhl 2002 nhl 2003 rainbow six iii ravenshield shogun: total war: warlord edition soldier of fortune ii - double helix soldiers of anarchy the gladiators unreal tournament 2003 unreal tournament 2004 finalmente terminar? los procesos activos de programas antivirus, programas de seguridad y del gusano w32/bagle.


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo