alta
Resumen
Resumen
Acción- Más información
| Propagación |
|
|---|---|
| Sistemas operativos vulnerables | Windows |
| Características |
|
| Protección disponible desde | 20 de agosto de 2004 09:25:28 (GMT) |
| Detectado por | Todos los productos de Sophos |
Acción
- Resumen
- Acción
- Más información
Vea la información para eliminar gusanos.
Más información
W32/Rbot-GR es un gusano de redes y un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC y que se extiende a través de unidades compartidas con contraseñas no seguras y aprovechando otras vulnerabilidades.
W32/Rbot-GR puede ser utilizado para robar contraseñas y claves de registro de diferentes programas y juegos. W32/Rbot-GR es un gusano de redes y un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC y que se extiende a través de unidades compartidas con contraseñas no seguras y aprovechando estas vulnerabilidades:
WebDav (MS03-007)
DCOM (MS03-039, MS04-012)
UPNP (MS01-059)
Servidores Microsoft SQL con contraseñas no seguras.
Desbordamiento del buffer en ciertas versiones de DameWare (CAN-2003-1030)
Agujeros abiertos por otros gusanos como W32/MyDoom, Troj/Optix, Troj/Kuang o Troj/NetDevil.
Al ejecutarse por primera vez, W32/Rbot-GR se copia en la carpeta del sistema de Windows con el nombre SYSTEMC32.EXE y crea las siguientes entradas en el registro para activarse en el inicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Updates = systemc32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Microsoft Updates = systemc32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Updates = systemc32.exe
El troyano conecta con un servidor IRC en un canal específico donde aguardará los comandos del atacante, que podrá:
- iniciar ataques DDoS (distributed denial-of-service) mediante ICMP, SYN y UDP
- redireccionar tráfico TCP y SOCKS4
- iniciar una sesión remota
- descargar, copiar, borrar y ejecutar archivos
- configurar servidores HTTP y TFTP
- robar contraseñas (incluyendo cuenta de acceso a PayPal)
- registrar las pulsaciones del teclado
- realizar capturas de pantalla
- realizar capturas de Webcam
- listar y terminar procesos
- abrir y cerrar vulnerabilidades
- escanear puertos en busca de otros equipos vulnerables
- enviar email
- borrar la caché de DNS y ARP
- apagar el sistema
W32/Rbot-GR puede ser utilizado para robar contraseñas y claves de registro de diferentes programas y juegos, incluyendo:
Counter-Strike
The Gladiators
Gunman Chronicles
Half-Life
Industry Giant 2
Legends of Might and Magic
Soldiers Of Anarchy
Microsoft Windows Product ID
Unreal Tournament 2003
Unreal Tournament 2004
IGI 2: Covert Strike
Freedom Force
Battlefield 1942
Battlefield 1942 (Road To Rome)
Battlefield 1942 (Secret Weapons of WWII)
Battlefield Vietnam
Black and White
Command and Conquer: Generals (Zero Hour)
James Bond 007: Nightfire
Command and Conquer: Generals
Global Operations
Medal of Honor: Allied Assault
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault: Spearhead
Need For Speed Hot Pursuit 2
Need For Speed: Underground
Shogun: Total War: Warlord Edition
FIFA 2002
FIFA 2003
NHL 2002
NHL 2003
Nascar Racing 2002
Nascar Racing 2003
Rainbow Six III RavenShield
Command and Conquer: Tiberian Sun
Command and Conquer: Red Alert
Command and Conquer: Red Alert 2
Chrome
NOX
Hidden & Dangerous 2
Soldier of Fortune II - Double Helix
Neverwinter Nights
Neverwinter Nights (Shadows of Undrentide)
Neverwinter Nights (Hordes of the Underdark)
W32/Rbot-GR podría cambiar el valor de las siguientes entradas:
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = N
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = 1
W32/Rbot-GR puede crear y borrar unidades compartidas en el equipo infectado.
|
