w32/spybot.jpb

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/spybot.jpb

w32.spybot. jpb
tipo: gusano
tama?o: 102,912 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.7 al 15/02/2005. descripción:
w32/spybot.jpb , es un gusano residente en memoria, se difunde a trav?s de los recursos compartidos de la red, permite el acceso remoto y no permitido de un intruso a la computadora infectada a trav?s del irc.
este gusano tambi?n se aprovecha de las siguientes vulnerabilidades:
vulnerabilidad lsass buffer overrun , descrito en el bolet?n de seguridad ms04-011 de microsoft: vulnerabilidad dcom rpc , descrito en el bolet?n de seguridad ms03-026 de microsoft. vulnerabilidad buffer overrun in the workstation service descrito en el bolet?n de seguridad ms03-049 de microsoft. vulnerabilidad upnp notify buffer overflow vulnerability descrito en el bolet?n de seguridad ms01-059 de microsoft vulnerabilidad en microsoft sql server 2000 o msde 2000 audit, descrito en el bolet?n de seguridad ms02-061 de microsoft vulnerabilidad dameware mini remote control server pre-authentication buffer overflow descrito en can-2003-0960 cuando el gusano se ejecuta se copia así mismo con atributo de oculto dentro de:
system \mdns.exe nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 ).
además modifica algunas entradas en el registro para poder ejecutarse en el siguiente reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
mdn= system \mdns.exe
hkey_local_machine\software\microsoft\windows\currentversion\runservices
mdn= system \mdns.exe
hkey_current_user\software\microsoft\windows\currentversion\run
mdn= system \mdns.exe
busca computadores en la red local e intentar? conectarse utilizando una relaci?n de usuarios y passwords, si logra conectarse el gusano intentar? copiarse a si mismo en dicho computador remoto.
seguidamente intentar? conectarse a un canal irc a trav?s del puerto tcp 8126 en el dominio hey.pj34r.us y queda a la espera de recibir ordenes remotas del atacante, las ordenes podr?an realizar:
descargar y ejecutar archivos. listar, detener e iniciar procesos. realizar ataques de denegaci?n de servicio (dos). robar informaci?n del sistema y enviarlo al atacante. capturar pulsaciones del teclado. abrir puertas traseras en el computador atacado. realizar redireccionamiento de puertos. enviar archivos a trav?s del irc iniciar un servidor web o ftp adicionar y eliminar recursos compartidos en la red y deshabilitar el dcom reiniciar el computador atacado iniciar un servidor proxy socks4 interceptar paquetes de datos en la red local. intentar? robar claves y passwords de cd de diferentes juegos
1992/2005


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo