PeerBot.NAB. Se propaga a través de KaZaa e IRC

en Ultimas Amenazas de virus y sus variantes
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Seguridad, Spyware y Phishing : Ultimas Amenazas de virus y sus variantes
Ultimas Amenazas de virus y sus variantes Ultimas Amenazas de virus y sus variantes Conozca sobre las ultimas amenazas de virus, troyanos y gusanos a la seguridad de los sistemas operativos y programas del mundo informatico.

PeerBot.NAB. Se propaga a través de KaZaa e IRC

Compartir

Nombre: PeerBot.NAB
Nombre NOD32: Win32/PeerBot.NAB
Tipo: Gusano de Internet
Alias: PeerBot.NAB, Backdoor.Rbot, Backdoor.Rbot.AXP, Backdoor.Rbot.axp, Backdoor.Win32.Rbot.axp, Backdoor:Win32/Rbot!47C9, IRC/BackDoor.SdBot2.AFJ, W32.Spybot.Worm, W32/RBot.AXP!worm, W32/Sdbot.HIH.worm, W32/Sdbot.worm.gen.h, W32/Spybot.ALFF, Win32.HLLW.MyBot, Win32/PeerBot.NAB, Worm/Rbot.284672
Plataforma: Windows 32-bit
Fecha: 29/may/06
Tamaño: 286,720 bytes

Gusano capaz de propagarse a través de la red de intercambio de archivos KaZaa y canales de IRC (Internet Relay Chat). Abre una puerta trasera y se conecta a un servidor de IRC para recibir instrucciones de usuarios remotos.

Cuando se ejecuta, este troyano se copia a si mismo en la carpeta del sistema de Windows, con un nombre al azar.

NOTA: La ubicación de la carpeta del sistema puede variar de acuerdo al Windows instalado: "c:\windows\system" (por defecto) en Windows 9x/ME, "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003.

También se agrega al registro de Windows, para autoejecutarse en cada reinicio:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[valor] = [camino y nombre del ejecutable]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[valor] = [camino y nombre del ejecutable]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once
[valor] = [camino y nombre del ejecutable]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
[valor] = [camino y nombre del ejecutable]

Después de autoinstalarse en el sistema, el gusano se borra a si mismo. Pero al volver a ejecutarse su copia en la carpeta del sistema (al reiniciarse Windows), continúa el proceso iniciado.

Puede crear carpetas en las que se copia con diferentes nombres. Luego, agrega esa carpeta a la lista de carpetas compartidas por KaZaa, con los siguientes cambios en el registro:

HKCU\Software\Kazaa\LocalContent\
Dir0 = 012345:[camino de la carpeta creada]

Cuando se está ejecutando, cualquier proceso con alguno de estos nombres es detenido. Los mismos pertenecen a utilidades clásicas de Windows:

NETSTAT.EXE
TASKMGR.EXE
MSCONFIG.EXE
REGEDIT.EXE

Esto dificulta la remoción del gusano mientras el mismo se esté ejecutando.

El gusano también intenta conectarse a determinados servidores de IRC, desde donde puede recibir instrucciones complementarias, como las de copiarse en determinadas carpetas de inicio, obtener información del sistema infectado, etc.

Para prevenir múltiples instancias de si mismo en memoria, el gusano crea un único mutex (semáforo indicador que permanece en memoria mientras el gusano está activo).

---------------------------------------------------------------------------------------------------
REPARACION MANUAL

NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
---------------------------------------------------------------------------------------------------
Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los archivos detectados por el Antivirus.
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Editar el registro de Windows

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Kazaa
\LocalContent

3. Pinche en la carpeta "LocalContent" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Dir0 = 012345:[camino y nombre de la carpeta creada]

4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".

6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

7. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".

8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

9. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".

10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunOnce

11. Haga clic en la carpeta "RunOnce" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".

12. Cierre el editor del registro.

13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Fuente: VSANTIVIRUS
[hr]


Archivo HOSTS | Antivirus NOD32 | Agnitum Outpost Firewall
Compartir
  #1  
Creado: 30-May-2006, a las 18:25 Vistas: 487
Categoria: Ultimas Amenazas de virus y sus variantes
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
irc, kazaa, peerbotnab, propaga, traves


Temas Similares
» Pegan.O. Se propaga a través del MSN Messenger 0
» Pegan.A. Se propaga a través del MSN Messenger 0
» Delf.NCS. Se propaga a través del MSN Messenger 0
» PeerBot.NAC. Se propaga a través de KaZaa e IRC 0
» Mydoom.BR. Se propaga por email y KaZaa, usa rootkit 0
» Mydoom.BQ. Se propaga por correo electrónico y KaZaa 0
» Mydoom.BN. Se propaga por correo electrónico y KaZaa 0
» Incef.B. Se propaga por la red KaZaa y canales de IRC 0
» Incef.A. Se propaga por la red KaZaa y canales de IRC 0
» W32/Mujpider.A. Se propaga por IRC y KaZaa 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 13:19.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4