alta
Resumen
Resumen
Acción- Más información
| Propagación |
|
|---|---|
| Sistemas operativos vulnerables | Windows |
| Características |
|
| Protección disponible desde | 25 de agosto de 2004 08:03:50 (GMT) |
| Detectado por | Todos los productos de Sophos |
Acción
- Resumen
- Acción
- Más información
Vea la información para eliminar gusanos.
Más información
W32/Forbot-K es un gusano de redes y un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC. W32/Forbot-K es un gusano de redes y un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC.
El gusano se copia en la carpeta del sistema de Windows con el nombre svxhost.exe y crea las siguientes entradas en el registro para activarse en el inicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
SVX Control Service = svxhost.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
SVX Control Service = svxhost.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
SVX Control Service = svxhost.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
SVX Control Service = svxhost.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
SVX Control Service = svxhost.exe
W32/Forbot-K conecta con un servidor IRC en un canal específico donde aguardará los comandos del atacante, que podrá:
- iniciar ataques en avalancha (mediante ping o HTTP)
- iniciar un servidor proxy SOCKS4
- iniciar un servidor FTP
- escanear puertos en direcciones IP aleatorias
- ejecutar comandos
- robar contraseñas y otra información confidencial
- copiar/descargar archivos
- manipular el sistema de archivos
- editar el registro del sistema
El gusano se extiende aprovechando la vulnerabilidad LSASS en sistemas Windows (vea MS04-011) y a equipos infectados con Troj/Optix.
|
