alta
Resumen
Resumen
Acción- Más información
| Propagación |
|
|---|---|
| Sistemas operativos vulnerables | Windows |
| Características |
|
| Protección disponible desde | 21 de febrero de 2005 14:28:35 (GMT) |
| Detectado por | Todos los productos de Sophos |
Acción
- Resumen
- Acción
- Más información
Vea la información para eliminar gusanos.
Tendrá que editar las entradas modificadas por el gusano. Antes de continuar, lea el aviso sobre el uso del editor del registro.
Ejecute el comando Inicio|Ejecutar. Escriba 'Regedit' y haga clic en Aceptar.
Antes de modificar el registro del sistema debería hacer una copia en un archivo. En la ventana Editor del Registro, ejecute el comando 'Exportar archivo del Registro' del menú 'Registro' y seleccione 'Todos' en la sección 'Intervalo de exportación'.
En HKEY_LOCAL_MACHINE localice y borre cualquier referencia al gusano en las siguientes entradas:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Cada usuario dispone de un área en el registro de la forma HKEY_USERS\[código de usuario]\. Por cada usuario localice y borre cualquier referencia al gusano en las siguientes entradas:
HKU\[código de usuario]\Software\Microsoft\Windows\ CurrentVersion\Run\
Cierre el editor del registro.
Compruebe los siguientes elementos:
- Para reactivar DCOM puede editar el registro, aunque se recomienda utilizar Dcomcnfg.exe. Vea el artículo de Microsoft 825750 para más detalles.
- La clave HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1" evita la enumeración de cuentas y nombres SAM. El valor predeterminado es "0", pero lo puede modificar desde las Directivas de seguridad local. Vea el artículo de Microsoft 246261 para más detalles.
- Compruebe la contraseña de administrador y revise la seguridad de su red.
Más información
W32/Forbot-EG es un gusano que se extiende a través de unidades compartidas de red y que incluye un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC.W32/Forbot-EG es un gusano que se extiende a través de unidades compartidas de red y que incluye un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC.
W32/Forbot-EG se copia en la carpeta del sistema de Windows con el nombre SNAPPLE.EXE e intenta crear un servicio con el nombre de Servicio y de Visualización "snapple". Este servicio es instalado para ejecutar la copia en el inicio del sistema.
W32/Forbot-EG crea las siguientes entradas en el registro para activarse en el inicio del sistema:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ snapple = "snapple.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ snapple = "snapple.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\ snapple = "snapple.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ snapple = "snapple.exe"
W32/Forbot-EG se propaga por las unidades de red con contraseñas no seguras y aprovechándose de agujeros de seguridad como resultado del troyano que recibe los comandos del atacante.
W32/Forbot-EG intentará crear las siguientes entradas en el registro:
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N" HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1"
W32/Forbot-EG intentará borrar unidades de red en el ordenador anfitrión.
|
