alta
Resumen
Resumen
Acción- Más información
| Propagación |
|
|---|---|
| Sistemas operativos vulnerables | Windows |
| Características |
|
| Protección disponible desde | 25 de enero de 2005 08:47:24 (GMT) |
| Detectado por | Todos los productos de Sophos |
Acción
- Resumen
- Acción
- Más información
Vea la información para eliminar gusanos.
Cambie los datos que hayan podido quedar comprometidos.
Tendrá que editar las entradas modificadas por el gusano.
Ejecute el comando Inicio|Ejecutar. Escriba 'Regedit' y haga clic en Aceptar.
Antes de modificar el registro del sistema debería hacer una copia en un archivo. En la ventana Editor del Registro, ejecute el comando 'Exportar archivo del Registro' del menú 'Registro' y seleccione 'Todos' en la sección 'Intervalo de exportación'.
En HKEY_LOCAL_MACHINE localice y borre cualquier referencia al gusano en las siguientes entradas:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Cada usuario dispone de un área en el registro de la forma HKEY_USERS\[código de usuario]\. Por cada usuario localice y borre cualquier referencia al gusano en las siguientes entradas:
HKU\[código de usuario]\Software\Microsoft\Windows\ CurrentVersion\Run\
Cierre el editor del registro.
Más información
W32/Rbot-UE es un gusano que se extiende a través de unidades compartidas de red y que incluye un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC.
El gusano se extiende aprovechando contraseñas no seguras y diferentes vulnerabilidades: LSASS (MS04-011) RPC-DCOM (MS03-039).
Al ejecutarse por primera vez, el gusano W32/Rbot-UI se copia en la carpeta del sistema de Windows como un archivo oculto y de sólo lectura denominado npfw.exe.
A continuación, crea las siguientes entradas en el registro para activarse en el inicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunNorton Personal Firewallnpfw.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesNorton Personal Firewallnpfw.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunNorton Personal Firewallnpfw.exe
Una vez instalado, el gusano aguardará los comandos del atacante, que podrá: iniciar un servidor FTP, HTTP o proxy borrar unidades compartidas de red copiar, descargar, ejecutar y borrar archivos buscar otros ordenadores que infectar realizar ataques DDoS (distributed denial-of-service) registrar las pulsaciones del teclado obtener claves de registro de programas realizar capturas de pantalla y cámras Web iniciar una sesión remota (RLOGIN).
|
