w32.spybot.won
tipo: gusano
tama?o: 63,488 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.8 al 07/09/2005 descripción:
w32/spybot.won , es un gusano residente en memoria, se difunde a trav?s de los recursos compartidos de la red, permite el acceso remoto y no permitido de un intruso a la computadora infectada a trav?s del irc.
este gusano tambi?n se aprovecha de las siguientes vulnerabilidades:
vulnerabilidad lsass buffer overrun , descrito en el bolet?n de seguridad ms04-011 de microsoft: vulnerabilidad dcom rpc , descrito en el bolet?n de seguridad ms03-026 de microsoft. vulnerabilidad plug and play , descrito en el bolet?n de seguridad ms05-039 de microsoft. vulnerabilidad buffer overrun in workstation descrito en el bolet?n de seguridad ms03-049 de microsoft. cuando el gusano se ejecuta se copia as? mismo dentro:
windows \wordpad.exe seguidamente copia un archivo que es utilizado para ocultar sus procesos:
system \orans.sys nota:
- windows representa la carpeta de instalaci?n de windows (ej. c:\windows, c:\winnt )
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 ).
luego crea los siguientes servicios wordpad y orans y crea las siguientes entradas en el registro para poder ejecutarse en cada inicio del sistema:
hkey_local_machine\system\currentcontrolset\enum\root\legacy_orans hkey_local_machine\system\currentcontrolset\enum\root\legacy_wordpad hkey_local_machine\system\currentcontrolset\services\orans hkey_local_machine\system\currentcontrolset\services\wordpad además modifica las siguientes entradas en el registro para deshabilitar el centro de seguridad de windows, actualizaciones autom?ticas, prevenir la instalaci?n del service pack 2 de windows xp, deshabilitar el firewall, recursos compartidos y dcom.
hkey_local_machine\software\microsoft\security center
firewalldisablenotify=1
hkey_local_machine\software\microsoft\security center
updatesdisablenotify=1
hkey_local_machine\software\microsoft\security center
antivirusdisablenotify=1
hkey_local_machine\software\microsoft\security center
firewalloverride=1
hkey_local_machine\software\microsoft\security center
antivirusoverride=1
hkey_local_machine\software\microsoft\windows\currentversion\windowsupdate\autoupdate
auoptions=1
hkey_local_machine\software\policies\microsoft\windows\windowsupdate
donotallowxpsp2=1
hkey_local_machine\software\policies\microsoft\windowsfirewall\standardprofile
enablefirewall=0
hkey_local_machine\software\policies\microsoft\windowsfirewall\domainprofile
enablefirewall=0
hkey_local_machine\software\microsoft\ole
enabledcom=n
hkey_local_machine\system\currentcontrolset\control\lsa
restrictanonymous=1
hkey_local_machine\system\controlset001\services\wscsvc
start=4
hkey_local_machine\system\currentcontrolset\services\messenger
start=4
hkey_local_machine\system\currentcontrolset\services\remoteregistry
start=4
hkey_local_machine\system\currentcontrolset\services\tlntsvr
start=4
hkey_local_machine\system\currentcontrolset\control\servicecurrent
[predeterminado]=9
busca computadores en la red local que est?n protegidos por contrase?as f?ciles e intentar? conectarse utilizando una relaci?n de contrase?as, si logra conectarse el gusano intentar? copiarse a si mismo en dicho computador remoto.
finalmente abre una puerta trasera (backdoor) conect?ndose a alguno de los siguientes servidores irc, a trav?s del puerto tcp 889 o 19899:
0x80.online-secured.com 0x80.online-animal.com exploited.lsass.org si logra conectarse satisfactoriamente queda a la espera de recibir ordenes remotas del atacante, las ordenes podr?an realizar las siguientes acciones,
descargar y ejecutar archivos. detener e iniciar procesos. realizar ataques de denegaci?n de servicio(dos) abrir una l?nea de comandos en el computador atacado obtener informaci?n del sistema. capturar pulsaciones de teclado. robar contrase?as eliminar entradas en el registro. 1992/2005
|
