Sophos

W32/Forbot-BR

Categoría
Tipo
Qué hacer
Prevalencia baja alta

Resumen

 
Propagación
  • Unidades compartidas de red
Sistemas operativos vulnerables Windows
Protección disponible desde 20 de octubre de 2004 13:06:07 (GMT)
Detectado por Todos los productos de Sophos

Acción

Vea la información para eliminar gusanos.

Tendrá que editar las entradas modificadas por el gusano.

Ejecute el comando Inicio|Ejecutar. Escriba 'Regedit' y haga clic en Aceptar.

Antes de modificar el registro del sistema debería hacer una copia en un archivo. En la ventana Editor del Registro, ejecute el comando 'Exportar archivo del Registro' del menú 'Registro' y seleccione 'Todos' en la sección 'Intervalo de exportación'.

En HKEY_LOCAL_MACHINE localice y borre cualquier referencia al gusano en las siguientes entradas:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\ HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

Cada usuario dispone de un área en el registro de la forma HKEY_USERS\[código de usuario]\. Por cada usuario localice y borre cualquier referencia al gusano en las siguientes entradas:

HKU\[código de usuario]\Software\Microsoft\Windows\ CurrentVersion\Run\

HKU\[código de usuario]\Software\Microsoft\Windows\ CurrentVersion\RunOnce\

Cierre el editor del registro.

Más información

W32/Forbot-BR es un gusano que se extiende a través de unidades compartidas de red y que incluye un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC.

Al ejecutarse por primera vez, W32/Forbot-BR se copia en la carpeta del sistema de Windows con el nombre windows.exe y crea las siguientes entradas en el registro para activarse en el inicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
NDIS Adapter = windows.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
NDIS Adapter = windows.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
NDIS Adapter = windows.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
NDIS Adapter = windows.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
NDIS Adapter = windows.exe

El gusano conecta con un servidor IRC en un canal específico donde aguardará los comandos del atacante, que podrá:

iniciar un servidor FTP, HTTP, SOCKS4
copiar, descargar, borrar y ejecutar archivos
obtener claves de registro de programas y juegos
escanear direcciones IP en busca de ordenadores a infectar
realizar ataques DDoS (distributed denial of service)

RSS|Atom
Recibir informes sobre las amenazas de virus y programas espía más recientes