> INFORMACION
Gusano de redes, capaz de propagarse utilizando varios exploits.
> CARACTERISTICAS
Cuando se ejecuta el gusano descarga archivos adicionales de Internet, estos archivos son a su vez troyanos del tipo "downloaders".
Los archivos descargados, pueden eliminar los procesos de varias aplicaciones de seguridad.
También pueden modificar la configuración del cortafuegos de Windows XP, de tal modo que otros programas descargados por el gusano puedan comunicarse hacia Internet sin el conocimiento del usuario.
Finalmente libera y ejecuta un componente de acceso remoto por puerta trasera en todos los sistemas infectados, con la posibilidad de comunicarse entre ellos.
El gusano crea el siguiente archivo:
c:\windows\system32\exename.exe
De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
Para ejecutarse en cada inicio del sistema crea las siguientes entradas en el registro de Windows:
HKCU\Software\Microsoft\Ole
Blah service = c:\windows\system32\exename.exe
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
Blah service = c:\windows\system32\exename.exe
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices
Blah service = c:\windows\system32\exename.exe
Puede propagarse a través de redes, copiándose en los siguientes recursos compartidos:
admin$
c$
ipc$
Para ello utiliza la cuenta del usuario actual, o una extensa lista interna con nombres de usuario y contraseñas.
Además, puede copiarse a sistemas infectados con otros troyanos y gusanos que abren puertas traseras (Optix, Sub7, Bagle, Mydoom, etc.)
También puede propagarse utilizando la aplicación DameWare.
El gusano puede actuar como un BOT de IRC conectandose al siguiente servidor para recibir las instrucciones de un usuario remoto:
irc .sykonet .org
Algunas de las acciones posibles:
Operaciones HTTP y FTP
Realizar ataques de denegación de servicio (DoS)
Agregar o quitar recursos compartidos
Habilitar o deshabilitar DCOM
Redireccionar puertos
Realizar varias operaciones en IRC
Listar procesos activos
Iniciar o terminar procesos
Obtener contenido del portapapeles
Capturar imagen usando la Webcam de la víctima
Enviar correo utilizando su propio motor SMTP
Obtener el contenido del caché de contraseñas
Realizar escaneos de paquetes
Capturar la salida del teclado
Buscar otros sistemas vulnerables o infectados
Conseguir la clave de registro de Windows
Conseguir la clave de registro de varios video juegos
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario