backdoor.tankedoor, backdoor.tankedoor.02, w32/rbit.worm
tipo: troyano
tama?o: 25,000 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.4 al 04/04/2003. descripción:
w32/tankedoor, es un troyano que permite el acceso remoto y no permitido de un intruso a la computadora infectada a través de un canal irc. esta escrito en delphi y comprimido con la utilidad aspack.
cuando el troyano se ejecuta se copia a sí mismo como:
c:\windows\system\dllmem32.exe
además crea algunas entradas en el registro para poder ejecutarse en el siguiente reinicio del sistema
hkey_local_machine\software\microsoft\windows\currentversion\run
dll32=c:\windows\system\dllmem32.exe
hkey_local_machine\software\microsoft\windows\currentversion\runservices
dll32=c:\windows\system\dllmem32.exe
hkey_current_user\software\microsoft\windows\currentversion\runonce
dll32=c:\windows\system\dllmem32.exe
si el sistema operativo es windows nt/2000/xp, el gusano modificará el siguiente valor:
hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon
shell=explorer.exe
por el siguiente:
hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon
shell=explorer.exe system dllmem32.exe
finalmente el troyano intentará establecer contacto con el atacante a través del irc.
|
