backdoor.zombam.d, backdoor.zombam
tipo: troyano
tama?o: 77,824 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.4 al 07/04/2003. descripción:
w32/zombam, es un troyano que permite el acceso remoto y no permitido de un intruso a la computadora infectada. este troyano intenta finalizar los procesos de varios antivirus y firewalls que se encuentren en el computador atacado. abre el puerto 80.
si el sistema operativo es windows 95/98/me el troyano se copia a sí mismo como:
c:\windows\cookies\ckmgr.exe
si el sistema operativo es windows nt/2000/xp el troyano se copia a sí mismo como:
document and settings\<nombre del usuario>\cookies\ckmgr.exe
además crea la siguiente entrada en el registro para poder ejecutarse en el siguiente reinicio del sistema:
windows 95/98/me
hkey_current_user\software\microsoft\windows\currentversion\run
ckmgr=c:\windows\cookies\ckmgr.exe
windows nt/2000/xp
hkey_current_user\software\microsoft\windows\currentversion\run
ckmgr=document and settings\<nombre del usuario>\cookies\ckmgr.exe
finalmente el gusano intentará finalizar todos los procesos activos de algunos antivirus y firewalls:
_avpcc.exe
_avpm.exe
_findviru.exe
ackwin32.exe
alogserv.exe
amon.exe
anti-trojan.exe
apvxdwin.exe
atguard.exe
ave32.exe
avkserv.exe
avnt.exe
avpcc.exe
avpm.exe
avwin95.exe
blackice.exe
claw95cf.exe
cmgrdian.exe
ecengine.exe
esafe.exe
findviru.exe
fprot.exe
f-prot95.exe
fp-win.exe
guarddog.exe
iamapp.exe
iomon98.exe
lookout.exe
navapsvc.exe
navapw32.exe
navnt.exe
navw32.exe
navwnt.exe
navwnt.exe
nod32.exe
nsplugin.exe
ogrc.exe
ogrc.exe
outpost.exe
rav7.exe
rulaunch.exe
scan32.exe
smss.exe
spider.exe
vet95.exe
vettray.exe
vsmain.exe
zonalarm.exe
|
