Sophos

W32/Rbot-VO

Alias
  • Backdoor.Win32.Rbot.gj
  • W32/Sdbot.worm.gen.x
Categoría
Tipo
Qué hacer
Prevalencia baja alta

Resumen

 
Propagación
  • Unidades compartidas de red
Sistemas operativos vulnerables Windows
Protección disponible desde 8 de febrero de 2005 13:38:04 (GMT)
Detectado por Todos los productos de Sophos

Acción

Vea la información para eliminar gusanos.

Tendrá que editar las entradas modificadas por el gusano. Lea el aviso antes de modificar el registro de Windows.

Ejecute el comando Inicio|Ejecutar. Escriba 'Regedit' y haga clic en Aceptar.

Antes de modificar el registro del sistema debería hacer una copia en un archivo. En la ventana Editor del Registro, ejecute el comando 'Exportar archivo del Registro' del menú 'Registro' y seleccione 'Todos' en la sección 'Intervalo de exportación'.

En HKEY_LOCAL_MACHINE localice y borre cualquier referencia al gusano en las siguientes entradas:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

Cierre el editor del registro.

Compruebe los siguientes elementos:

  • Para reactivar DCOM puede editar el registro, aunque se recomienda utilizar Dcomcnfg.exe. Vea el artículo de Microsoft 825750 para más detalles.
  • La clave HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1" evita la enumeración de cuentas y nombres SAM. El valor predeterminado es "0", pero lo puede modificar desde las Directivas de seguridad local. Vea el artículo de Microsoft 246261 para más detalles.
  • Compruebe la contraseña de administrador y revise la seguridad de su red.

Más información

W32/Rbot-VO es un gusano que se extiende a través de unidades compartidas de red y que incluye un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC.

El gusano se extiende aprovechando diferentes vulnerabilidades (incluyendo DCOM-RPC y LSASS) en sistemas Windows y aprovechando agujeros abiertos por otros gusanos y troyanos. W32/Rbot-VO es un gusano que se extiende a través de unidades compartidas de red y que incluye un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC.

El gusano se extiende aprovechando diferentes vulnerabilidades (incluyendo DCOM-RPC y LSASS) en sistemas Windows y aprovechando agujeros abiertos por otros gusanos y troyanos.

Al ejecutarse por primera vez, W32/Rbot-VO se copia en la carpeta del sistema de Windows con el nombre WINGTP.EXE y crea las siguientes entradas en el registro para activarse en el inicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Microsofts media wingtp.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Microsofts media wingtp.exe

W32/Rbot-VO también modifica la siguiente entrada:

HKCU\Software\Microsoft\OLE Microsofts media wingtp.exe

El gusano conecta con un servidor IRC en un canal específico donde aguardará los comandos del atacante.

W32/Rbot-VO puede crear y borrar usuarios y unidades de red, además de modificar las siguientes entradas del registro:

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous

RSS|Atom
Recibir informes sobre las amenazas de virus y programas espía más recientes