Categorias

Buscador

Otros trucos tecnicos

• Escritorio de Windows como página web.

• Créditos de PowerPoint 2000.

• Excel más divertido

• Usar el navegador Web como calculadora.

• Restaurar el registro desde una copia de seguridad.

w32/zotob.g

Categoría: gusanos

w32.zotob.g, w32.drudebot.a
tipo: gusano
tama?o: 73,728 bytes
origen: internet
destructivo: no en la calle (in the wild): si detección y eliminación: the hacker 5.8 al 17/08/2005.
w32/zobot.g, es un gusano que se difunde explotando la vulnerabilidad de microsoft windows plug and play buffer overflow, descrito en el bolet?n de seguridad de microsoft ms05-039
el gusano no infecta sistemas con windows 95/98/me/nt4/xp, pero si puede ejecutarse en dichos sistemas para tratar de infectar computadores vulnerables (windows 2000) cuando estos se conecten a dichos sistemas operativos.
cuando el gusano se ejecuta crea un mutex de nombre windrg32.exe, el cual permite que solo una instancia del gusano se ejecute en memoria.
seguidamente se copia a si mismo dentro de:
system \usrnt\windrg32.exe
nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 )
adem?s crea la siguiente entrada en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
windrg32= system \windrg32.exe
el gusano se difunde a trav?s de la red generando un rango aleatorio de direcciones ip, utilizando los dos primeros octetos de la direcci?n ip del computador atacado.
seguidamente el gusano intentar? establecer comunicaci?n con uno de los siguientes servidores irc a trav?s del puerto tcp 6667 y unirse al canal #xaeti .
spookestreet.afraid.org spookystreet.udp-flood.com sppokystreet.m00p.org spookystreet.afraid.org si logra conectarse satisfactoriamente queda a la espera de recibir ordenes remotas del atacante, las ordenes podr?an realizar las siguientes acciones:
descargar y ejecutar archivos. finalizar procesos. enviar mensajes irc aleatorios. revisar por e-mail en http://www.mailinator.com/[xxxxxx] enviar urls para http://tinyurl.com/[xxxxxx] tambi?n abre un servidor tftp en el puerto tcp 1171, luego descarga y ejecuta una copia del gusano a trav?s del servidor tftp creado anteriormente, dicho archivo tiene de nombre [x].exe y es guardado en el computador atacado.
nota.- [x] representa a un n?mero aleatorio entre 0 - 9
intenta finalizar los siguientes procesos
cxtpls.exe ebatesmoemoneymaker*.exe cmesys.exe qttask.exe realsched.exe viewmgr.exe nhupdater.exe tambi?n elimina las siguientes entradas en el registro:
hkey_local_machine\software\microsoft\windows\run\funwebproducts hkey_local_machine\software\microsoft\windows\run\mywebsearch hkey_local_machine\software\microsoft\windows\run\myway hkey_local_machine\software\microsoft\windows\run\weatherontray hkey_local_machine\software\microsoft\windows\run\hotbar hkey_local_machine\software\microsoft\windows\run\sais hkey_local_machine\software\microsoft\windows\run\msbb hkey_local_machine\software\microsoft\windows\run\saie hkey_local_machine\software\microsoft\windows\run\180ax hkey_local_machine\software\microsoft\windows\run\lgbibsn hkey_local_machine\software\microsoft\windows\run\tov hkey_local_machine\software\microsoft\windows\run\180 hkey_local_machine\software\microsoft\windows\run\wintools hkey_local_machine\software\microsoft\windows\run\ibis tb hkey_local_machine\software\microsoft\windows\run\tbps hkey_local_machine\software\microsoft\windows\run\toolbar hkey_local_machine\software\microsoft\windows\run\apropos hkey_local_machine\software\microsoft\windows\run\navexcel hkey_local_machine\software\microsoft\windows\run\viewmgr hkey_local_machine\software\microsoft\windows\run\viewpoint hkey_local_machine\software\microsoft\windows\run\tkbellexe hkey_local_machine\software\microsoft\windows\run\real hkey_local_machine\software\microsoft\windows\run\quicktime task hkey_local_machine\software\microsoft\windows\run\quicktime hkey_local_machine\software\microsoft\windows\run\cmesys hkey_local_machine\software\microsoft\windows\run\gator hkey_local_machine\software\microsoft\windows\run\trickler hkey_local_machine\software\microsoft\windows\run\gatordownloader hkey_local_machine\software\microsoft\windows\run\ezmmod hkey_local_machine\software\microsoft\windows\run\ezula hkey_local_machine\software\microsoft\windows\run\ebatesmoemoneymaker hkey_local_machine\software\microsoft\windows\run\ebates hkey_local_machine\software\microsoft\windows\run\autoupdater hkey_local_machine\software\microsoft\windows\runonce\funwebproducts hkey_local_machine\software\microsoft\windows\runonce\mywebsearch hkey_local_machine\software\microsoft\windows\runonce\myway hkey_local_machine\software\microsoft\windows\runonce\weatherontray hkey_local_machine\software\microsoft\windows\runonce\hotbar hkey_local_machine\software\microsoft\windows\runonce\sais hkey_local_machine\software\microsoft\windows\runonce\msbb hkey_local_machine\software\microsoft\windows\runonce\saie hkey_local_machine\software\microsoft\windows\runonce\180ax hkey_local_machine\software\microsoft\windows\runonce\lgbibsn hkey_local_machine\software\microsoft\windows\runonce\tov hkey_local_machine\software\microsoft\windows\runonce\180 hkey_local_machine\software\microsoft\windows\runonce\wintools hkey_local_machine\software\microsoft\windows\runonce\ibis tb hkey_local_machine\software\microsoft\windows\runonce\tbps hkey_local_machine\software\microsoft\windows\runonce\toolbar hkey_local_machine\software\microsoft\windows\runonce\apropos hkey_local_machine\software\microsoft\windows\runonce\navexcel hkey_local_machine\software\microsoft\windows\runonce\viewmgr hkey_local_machine\software\microsoft\windows\runonce\viewpoint hkey_local_machine\software\microsoft\windows\runonce\tkbellexe hkey_local_machine\software\microsoft\windows\runonce\real hkey_local_machine\software\microsoft\windows\runonce\quicktime task hkey_local_machine\software\microsoft\windows\runonce\quicktime hkey_local_machine\software\microsoft\windows\runonce\cmesys hkey_local_machine\software\microsoft\windows\runonce\gator hkey_local_machine\software\microsoft\windows\runonce\trickler hkey_local_machine\software\microsoft\windows\runonce\gatordownloader hkey_local_machine\software\microsoft\windows\runonce\ezmmod hkey_local_machine\software\microsoft\windows\runonce\ezula hkey_local_machine\software\microsoft\windows\runonce\ebatesmoemoney hkey_local_machine\software\microsoft\windows\runonce\maker hkey_local_machine\software\microsoft\windows\runonce\ebates hkey_local_machine\software\microsoft\windows\runonce\autoupdater finalmente elimina todos los archivos y carpetas que encuentre en las siguientes ubicaciones:
programfiles \funwebproducts programfiles \funwebproducts\*.exe programfiles \mywebsearch programfiles \mywebsearch\*.exe programfiles \myway programfiles \myway\*.exe programfiles \hotbar programfiles \hotbar\*.exe programfiles \180solutions programfiles \180solutions\*.exe programfiles \common files\wintools programfiles \common files\wintools\*.exe programfiles \toolbar programfiles \toolbar\*.exe programfiles \cxtpls programfiles \navexcel programfiles \common files\gmt programfiles \common files\gmt\gmt.exe programfiles \common files\cmeii programfiles \ezula programfiles \ezula\mmod.exe programfiles \ebatesmoemoneymaker programfiles \autoupdate programfiles \autoupdate\autoupdate.exe
1992/2005

Comentarios (0) - Votos (0) - leido 47

Volver a la pagina principal

Comentarios recibidos en w32/zotob.g

Deja tu comentario aqui...

Tu nombre
Tu correo
Tu Comentario / Mensaje

Codigo de validación 2640

El codigo de validacion es necesario para poder enviar tu comentario gratis

Categorias

Buscador

Otros trucos tecnicos

Publicidad

w32/zotob.g

Tu nombre

Tu correo

Tu Comentario / Mensaje