alta
Resumen
Resumen
Acción- Más información
| Propagación |
|
|---|---|
| Sistemas operativos vulnerables | Windows |
| Protección disponible desde | 23 de febrero de 2005 21:44:24 (GMT) |
| Detectado por | Todos los productos de Sophos |
Acción
- Resumen
- Acción
- Más información
Vea la información para eliminar gusanos.
Más información
W32/Forbot-GL es un gusano de red para Windows que incluye un troyano.
Al ejecutarse por primera vez, W32/Forbot-GL se copia en la carpeta del sistema de Windows con el nombre actboost.exe y crea las siguientes entradas en el registro para activarse en el inicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Windows boot system cfg32 actboost.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce Windows boot system cfg32 actboost.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Windows boot system cfg32 actboost.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Windows boot system cfg32 actboost.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce Windows boot system cfg32 actboost.exe
W32/Forbot-GL también crea su servicio llamado “Windows cfg boot dll32” y mostará el nombre “Windows boot system cfg32”.
W32/Forbot-GL conecta con un servidor IRC en un canal específico donde aguardará los comandos del atacante, que podrá:
realizar ataques en avalancha iniciar un servidor proxy SOCKS4 iniciar un servidor HTTP iniciar un servidor FTP escanear puertos de direcciones IP escogidas por azar ejecutar comandos arbitrarios robar información como contraseñas y claves de registro cargar/descargar archivos
El gusano puede extenderse a equipos afectados por la vulnerabilidad LSASS (MS04-011) y a través de troyanos colocados por troyanos Troj/Optix.
W32/Forbot-GL intentará terminar los procesos siguientes: _AVP32.EXE _AVPCC.EXE _AVPM.EXE ad-watch.exe agentw.EXE agobot.exe apvxdwin.EXE avkpop.EXE avkservice.EXE avkwctl9.EXE avpm.EXE bbeagle.exe bircd.exe blackd.EXE ccApp.EXE ccEvtMgr.EXE ccPxySvc.EXE change.exe cleaner.EXE cleaner3.EXE cmd.exe cmd1.exe cmd2.exe cpd.EXE Crypto3.jpg CSRSR.exe CSRSRS.exe CSSSS.exe d3dupdate.exe defalert.EXE defscangui.EXE expore.exe F-AGOBOT.EXE f-stopw.EXE fameh32.EXE fbi.exe fch32.EXE fih32.EXE fnrb32.EXE forbot.exe fsaa.EXE fsav32.EXE fsgk32.EXE fsm32.EXE fsma32.EXE fsmb32.EXE gbmenu.EXE gbpoll.EXE gov.exe HIJACKTHIS.EXE i11r54n4.exe iamapp.EXE iamserv.EXE iexplorer.exe inst.EXEexplore32.exe irun4.exe jpg.exebot.exe lockdown2000.EXE lsass2.exe lssas.exe msconfig.exe mscvb32.exe norton123.exe notstart.EXE novarg_upx.zip npscheck.EXE ntrtscan.EXE nvsvc32.EXE opr0371I.js PandaAVEngine.exe pavproxy.EXE pccntmon.EXE pccwin97.EXE pcscan.EXE Penis32.exe phatbot.exe photo.zip pic33.scr rapapp.EXE rate.exe rbot.exe regedit.exe rtvscan.EXE rxb1ot.exe rxbot.exe sbserv.EXE serasa.exe serasa.exe.a smsss.exe spybot.exe ssate.exe sub7.exe svchosting.exe sysinfo.exe SysMonXP.exe taskmg.exe taskmgr.exe taskmgr1.exe Tcpview.exe Tcpview1.exe vbcmserv.EXE video.exe vshwin32.EXE vsmon.EXE winagent.exe windowsupdate.exe winset32.exe winsys.exe winupd.exe wircd.exe WrAdmin.EXE WrCtrl.EXE wuarclt.exe wupdate.exe XPF202EN.EXE zapro.EXE ZAPRO.EXE ZAPSETUP3001.EXE ZATUTOR.EXE ZAUINST.EXE ZONALM2601.EXE ZONEALARM.EXE
|
