w32.spybot. nyt
tipo: gusano
tama?o: variable
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.7 al 18/04/2005 descripción:
w32/spybot.nyt , es un gusano residente en memoria, se difunde a trav?s de los recursos compartidos de la red, permite el acceso remoto y no permitido de un intruso a la computadora infectada a trav?s del irc.
este gusano tambi?n se aprovecha de las siguientes vulnerabilidades:
vulnerabilidad lsass buffer overrun , descrito en el bolet?n de seguridad ms04-011 de microsoft: vulnerabilidad dcom rpc , descrito en el bolet?n de seguridad ms03-026 de microsoft. vulnerabilidad microsoft sql server 2000 o msde 2000 audit, descrito en el bolet?n de seguridad ms02-061 de microsoft, utilizando el puerto udp 1434. cuando el gusano se ejecuta se copia as? mismo en:
system \win32xpsysl.exe nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 ).
además modifica algunas entradas en el registro para poder ejecutarse en el siguiente reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
microsoft xp systems loaders= system \win32xpsys.exe
hkey_local_machine\software\microsoft\windows\currentversion\runservices
microsoft xp systems loaders= system \win32xpsys.exe
hkey_local_machine\software\microsoft\ole
microsoft xp systems loaders= system \win32xpsys.exe
hkey_local_machine\system\currentcontrolset\control\lsa
microsoft xp systems loaders= system \win32xpsys.exe
hkey_current_user\software\microsoft\windows\currentversion\run
microsoft xp systems loaders= system \win32xpsys.exe
hkey_current_user\software\microsoft\windows\currentversion\runservices
microsoft xp systems loaders= system \win32xpsys.exe
hkey_current_user\software\microsoft\ole
microsoft xp systems loaders= system \win32xpsys.exe
hkey_current_user\system\currentcontrolset\control\lsa
microsoft xp systems loaders= system \win32xpsys.exe
busca computadores en la red local que est?n protegidos por passwords f?ciles e intentar? conectarse utilizando una relaci?n de passwords, si logra conectarse el gusano intentar? copiarse a si mismo en dicho computador remoto.
tambi?n intenta difundirse a trav?s de puertas traseras (backdoor) abiertas por variantes de gusanos y troyanos como w32/bagle, w32/sasser, w32/mydoom, trojan/netdevil, trojan/kuang, trojan/optix y trojan/subseven.
finalmente intentar? conectarse a un canal irc en el dominio p0w3r.chillenderwijs.info a trav?s del puerto tcp 2442 si logra conectarse queda a la espera de recibir ordenes remotas del atacante, las ordenes podr?an realizar:
descargar y ejecutar archivos. listar, detener e iniciar procesos. realizar ataques de denegaci?n de servicio. capturar pulsaciones del teclado. abrir puertas traseras en el computador atacado. reiniciar el computador atacado. interceptar paquetes de datos en la red local. intentar? robar claves y passwords de cd de diferentes juegos.
iniciar un servidor proxy socks4.
enviar e-mail utilizando su propio motor.
iniciar un servidor local http, ftp o tftp
1992/2005
|
