| Nombre común: Vanebot.A
Nombre técnico: W32/Vanebot.A.worm
Peligrosidad: Media
Tipo: Gusano
Efectos: Está diseñado para conectarse a un servidor IRC y recibir diversas instrucciones de control remoto. Se propaga a través de redes con recursos compartidos, servidores SQL y programas de mensajería instantánea.
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 23/01/2009
Detección actualizada: 27/01/2009
Estadísticas No
Descripción Breve
Vanebot.A es un gusano diseñado para conectarse a un servidor IRC y permanecer a la espera de recibir diversas órdenes de control remoto.
Vanebot.A se propaga a través de redes con recursos compartidos configuradas con contraseñas débiles, servidores SQL y programas de mensajería instantánea.
Efectos
Vanebot.A está diseñado para conectarse a un servidor IRC y permanecer a la espera de recibir diversas órdenes de control remoto.
El servidor IRC al que se conecta es el siguiente:
as.asend.com
Podría recibir las siguientes instrucciones, entre otras:
descargar malware.
actualizarse a sí mismo.
enviar spam.
robar información del ordenador.
Metodo de Infección
Vanebot.A crea el archivo RTSECAR.EXE en la carpeta dllcache del directorio de sistema de Windows. Este archivo es una copia del gusano.
Vanebot.A crea las siguientes entradas en el Registro de Windows:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MICROSOFT_MEDIA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft Media
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MICROSOFT_MEDIA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft Media
Mediante estas entradas, Vanebot.A consigue registrar el archivo RTSECAR.EXE como un servicio denominado Microsoft Media para conseguir ejecutarse cada vez que Windows se inicia.
Método de Propagación
Vanebot.A se propaga a través de redes con recursos compartidos configuradas con contraseñas débiles, servidores SQL y programas de mensajería instantánea como MSN Messenger, Yahoo Messenger, AIM e ICQ.
Otros Detalles
Vanebot.A tiene un tamaño de 111699 Bytes y está comprimido mediante EXECryptor.
Además, Vanebot.A crea un mutex llamado 1tcrew, para asegurarse de que únicamente haya una copia de sí mismo ejecutándose en cada momento.
|
|