W32/Rbot-WN

Vea la información para eliminar gusanos.

W32/Rbot-WN es un gusano de red que incluye un troyano para Windows.

El gusano se copia a un archivo llamado cfgpwnz.exe en la carpeta del sistema de Windows y crea las siguientes entradas en el registro:

HKCU\Software\Microsoft\OLE Wins32 Online cfgpwnz.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Wins32 Online cfgpwnz.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Wins32 Online cfgpwnz.exe

W32/Rbot-WN se extiende usando varias técnicas: se aprovecha de ordenadores y servidores SQL con contraseñas no seguras y de vulnerabilidades en sistemas operativos (incluyendo DCOM-RPC, LSASS, WebDAV y UPNP) y usa troyanos colocados por otros gusanos o troyanos.

El gusano conecta con un servidor IRC en un canal específico donde aguardará los comandos del atacante, que podrá:

iniciar un servidor FTP iniciar un servidor proxy iniciar un servidor HTTP realizar ataques DDoS (distributed denial-of-service) grabar teclas pulsadas realizar capturas de pantalla y de cámaras Web rastrear paquetes de red escanear puertos descargar/ejecutar archivos arbitrarios iniciar una sesión remota (RLOGIN) robar datos de registro de productos con un programa determinado

Podrá obtener parches de seguridad para las vulnerabilidades de las que se aprovecha el gusano W32/Rbot-WN en Microsoft:

http://www.microsoft.com/technet/security/bulletin/ms04-012.mspx http://www.microsoft.com/technet/security/bulletin/ms03-039.mspx http://www.microsoft.com/technet/security/bulletin/ms03-007.mspx http://www.microsoft.com/technet/security/bulletin/ms01-059.mspx