w32.toxbot.b
tipo: gusano
tama?o: variable
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.7 al 10/03/2005
descripción:
w32/toxbot .b , es un gusano que se difunde a trav?s de canales irc, abre una puerta trasera que permite el acceso remoto y no permitido de un intruso a la computadora infectada, adem?s explota las siguientes vulnerabilidades
vulnerabilidad webdav vulnerability descrito en el bolet?n de seguridad ms03-007 de microsoft. vulnerabilidad dcom rpc , descrito en el bolet?n de seguridad ms03-026 de microsoft. vulnerabilidad microsoft sql server web task stored procedure privilege escalation , descrito en el boletin de seguridad ms02-061 de microsoft cuando el gusano se ejecuta se copia a si mismo en:
system \trkwksvc.exe nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 ).
seguidamente crea las siguientes entradas en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_local_machine\system\currentcontrolset\control\safeboot\minimal\trkwksvc
[predeterminado]=service
hkey_local_machine\system\currentcontrolset\control\safeboot\network\trkwksvc
[predeterminado]=service
tambi?n crea el siguiente servicio de nombre distributed link tracking service
adem?s verifica si existe el software vmware en el computador atacado, buscando la siguiente entrada en el registro:
hkey_local_machine\software\vmware
el gusano no se ejecutara si este software se esta ejecutando en el sistema.
finalmente abre una puerta trasera en el puerto tcp 6556 en uno de los siguientes dominios
i.randomized.it 0x90.devtech.us 0x41.memzero.info para permitir a un atacante el acceso remoto no autorizado en el computador atacado a trav?s de canales irc, el atacante podr?a realizar las siguientes acciones:
finalizar procesos. robar contrase?as. robar informaci?n del computador. descargar archivos remotos. capturar pulsaciones del teclado. 1992/2005
|
