W32/Rbot-WB

Vea la información para eliminar gusanos.

W32/Rbot-WB es un gusano que se extiende a través de unidades compartidas de red con contraseñas no seguras y que incluye un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC. W32/Rbot-WB es un gusano que se extiende a través de unidades compartidas de red con contraseñas no seguras y que incluye un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC.

Al ejecutarse por primera vez, W32/Rbot-WB se copia en la carpeta del sistema de Windows con el nombre RPC.EXE y crea las siguientes entradas en el registro para activarse en el inicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Microsofts MediaScope = winmep.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ Microsofts MediaScope = winmep.exe

W32/Rbot-WB también podría modificar la siguiente entrada:

HKCU\Software\Microsoft\OLE\ Microsofts MediaScope = winmep.exe

El gusano conecta con un servidor IRC en un canal específico donde aguardará los comandos del atacante, que podrá:

iniciar un servidor FTP, DCC o HTTP iniciar un servidor proxy SOCKS4, SOCKS5, HTTP, TCP GRE borrar unidades compartidas de red listar y detener procesos y servicios copiar, descargar, ejecutar y borrar archivos modificar el registro del sistema añadir y borrar servicios obtener claves de registro de juegos y aplicaciones buscar otros ordenadores que infectar realizar ataques DDoS (distributed denial-of-service) purgar la caché DNS y ARP cerrar la sesión, reiniciar y apagar el sistema iniciar una sesión remota robar contraseñas realizar capturas de pantalla y de cámaras Web

W32/Rbot-WB también puede modificar las siguientes entradas del registro:

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous

HKLM\SYSTEM\ControlSet\Control\Lsa\restrictanonymous