w32.spybot.woe
tipo: gusano
tama?o: 160,768 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.8 al 06/09/2005 descripción:
w32/spybot.woe , es un gusano residente en memoria, se difunde a trav?s de los recursos compartidos de la red, permite el acceso remoto y no permitido de un intruso a la computadora infectada a trav?s del irc.
este gusano tambi?n se aprovecha de las siguientes vulnerabilidades:
vulnerabilidad asn.1 library bit string processing variant heap corruption , descrito en el bolet?n de seguridad ms04-007 de microsoft. vulnerabilidad lsass buffer overrun , descrito en el bolet?n de seguridad ms04-011 de microsoft: vulnerabilidad dcom rpc , descrito en el bolet?n de seguridad ms03-026 de microsoft. vulnerabilidad plug and play , descrito en el bolet?n de seguridad ms05-039 de microsoft. cuando el gusano se ejecuta se copia as? mismo en:
system \update.pif nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 ).
además modifica algunas entradas en el registro para poder ejecutarse en el siguiente reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
system update service= system \update.pif
hkey_local_machine\software\microsoft\windows\currentversion\runservices
system update service= system \update.pif
hkey_local_machine\software\microsoft\ole
system update service= system \update.pif
hkey_local_machine\system\currentcontrolset\control\lsa
system update service= system \update.pif
hkey_current_user\software\microsoft\windows\currentversion\run
system update service= system \update.pif
hkey_current_user\software\microsoft\windows\currentversion\runservices
system update service= system \update.pif
hkey_current_user\software\microsoft\ole
system update service= system \update.pif
hkey_current_user\system\currentcontrolset\control\lsa
system update service= system \update.pif
busca computadores en la red local que est?n protegidos por contrase?as f?ciles e intentar? conectarse utilizando una relaci?n de contrase?as, si logra conectarse el gusano intentar? copiarse a si mismo en dicho computador remoto.
finalmente abre una puerta trasera (backdoor) conect?ndose a alguno de los siguientes canales irc:
water.omfgwtfbbq.biz, a trav?s del puerto tcp 4654 water.omfgwtfbbq.biz, a trav?s del puerto tcp 65529 your.urgentupdate.net, a trav?s del puerto tcp 1427 your.urgentupdate.net, a trav?s del puerto tcp 65528 si logra conectarse satisfactoriamente queda a la espera de recibir ordenes remotas del atacante, las ordenes podr?an realizar las siguientes acciones,
descargar y ejecutar archivos. detener e iniciar procesos. realizar ataques de denegaci?n de servicio(dos), ack, syn, udp, and icmp realizar redireccionamiento de puertos. enviar archivos v?a irc. iniciar un servidor ftp. realizar un scaneo de la red en b?squeda de sistemas vulnerables. abrir una l?nea de comandos en el computador atacado reiniciar el computador atacado. obtener informaci?n del sistema. monitorea el trafico de red robar claves de cd y de software instalado. capturar pulsaciones de teclado. 1992/2005
|
