alta
Resumen
Resumen
Acción- Más información
| Propagación |
|
|---|---|
| Sistemas operativos vulnerables | Windows |
| Características |
|
| Protección disponible desde | 26 de enero de 2005 08:49:29 (GMT) |
| Detectado por | Todos los productos de Sophos |
Acción
- Resumen
- Acción
- Más información
Vea la información para eliminar gusanos.
Cambie los datos que hayan podido quedar comprometidos.
Tendrá que editar las entradas modificadas por el gusano. Lea el aviso antes de modificar el registro de Windows.
Ejecute el comando Inicio|Ejecutar. Escriba 'Regedit' y haga clic en Aceptar.
Antes de modificar el registro del sistema debería hacer una copia en un archivo. En la ventana Editor del Registro, ejecute el comando 'Exportar archivo del Registro' del menú 'Registro' y seleccione 'Todos' en la sección 'Intervalo de exportación'.
En HKEY_LOCAL_MACHINE localice y borre cualquier referencia al gusano en las siguientes entradas:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\ HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Cada usuario dispone de un área en el registro de la forma HKEY_USERS\[código de usuario]\. Por cada usuario localice y borre cualquier referencia al gusano en las siguientes entradas:
HKU\[código de usuario]\Software\Microsoft\Windows\
CurrentVersion\Run\
HKU\[code number]\Software\Microsoft\Windows\
CurrentVersion\RunOnce\
Cierre el editor del registro.
Más información
W32/Forbot-DV es un gusano que se extiende a través de unidades compartidas de red y que incluye un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC. W32/Forbot-DV es un gusano que se extiende a través de unidades compartidas de red y que incluye un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC.
El gusano se extiende aprovechando la vulnerabilidad LSASS (MS04-011) en sistemas de Microsoft.
Al ejecutarse por primera vez, W32/Forbot-DV se copia en la carpeta del sistema de Windows con el nombre MsConfiG.exe y crea las siguientes entradas en el registro para activarse en el inicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Java Virtual Machine
MsConfiG.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
Microsoft Java Virtual Machine
MsConfiG.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Microsoft Java Virtual Machine
MsConfiG.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Java Virtual Machine
MsConfiG.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
Microsoft Java Virtual Machine
MsConfiG.exe
El gusano también crea entradas en:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DRAECO
SYTES.NET
HKLM\SYSTEM\CurrentControlSet\Services\draeco.sytes.net
HKLM\SYSTEM\CurrentControlSet\Services\draeco.sytes.net\Enum
HKLM\SYSTEM\CurrentControlSet\Services\draeco.sytes.net\Security
W32/Forbot-DV conecta con un servidor IRC en un canal específico donde aguardará los comandos del atacante, que podrá:
iniciar un servidor SOCKS4, FTP, HTTP copiar, descargar, ejecutar y borrar archivos obtener claves de registro de juegos y aplicaciones buscar otros ordenadores que infectar realizar ataques DDoS (distributed denial-of-service)
|
