w32.hllw.warpigs.c, backdoor.spyboter.gen
tipo: gusano
tama?o: 54,784 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.6 al 20/12/2003
w32/warpigs.c, es un gusano que se difunde a trav?s de los recursos compartidos en computadores con password de administrador f?cil. tiene caracter?stica de troyano, abre los puertos 6666 y 6667.
cuando el gusano se ejecuta se copia a si mismo en:
system \tskmg.exe
nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 )
adem?s modifica una entrada en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
winsockdriver= system \tskmg.exe
hkey_local_machine\software\microsoft\windows\currentversion\runonce
winsockdriver= system \tskmg.exe
tambi?n modifica la siguiente entrada en el registro:
hkey_local_machine\software\microsoft\msconfig
bla=[mes actual multiplicado por 30 mas el dia del mes actual]
hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon
shell=explorer.exe tskmg.exe
si el sistema operativo es windows 95/98/me , el gusano modifica el archivo system.ini para que se pueda ejecutar en cada reinicio del sistema:
[boot]
shell = explorer.exe tskmg.exe
tambi?n crea un archivo llamado pgonwe.exe dentro de la carpeta system , el gusano utiliza dicho archivo para intentar copiarse a si mismo en computadores que tengan password de administrador f?cil .
el gusano utiliza los siguientes passwords de administrador para intentar establecer la conexión con otros computadores remotos:
- 000
- administrateur
- test
- abc
- passwd
- pass
- edu
- owner
- password
- admin
- root
- root
- guest
- administrator
- administrator
- administrator
|
