Autor Tema: Rbot. Recibe ordenes desde un servidor IRC  (Leído 2756 veces)

Desconectado Danae

  • Administrator
  • *
  • Mensajes: 3210
  • Casi siempre en el armario.
    • windowsfacil,  primeros pasos con windows y el pc
Rbot. Recibe ordenes desde un servidor IRC
« en: 10 de Abril de 2005, 07:35:05 pm »
W32/Rbot. Recibe ordenes desde un servidor IRC

Nombre: W32/Rbot
Nombre NOD32: Win32/Rbot
Tipo: Gusano de Internet y caballo de Troya
Alias: Rbot, Backdoor.RBot.E25A63C3, Backdoor.Win32.Rbot.gen, NewHeur_PE, PE_PATCH.MORPHINE, W32.Spybot.Worm, W32/Malware, W32/Spybot.IU, W32/Spybot.IUC, Win32.4, Win32/Rbot

Plataforma: Windows 32-bit
Tamaño: 108,032 bytes
Puerto: TCP 8126

Este troyano ha sido enviado a través del MSN Messenger, en mensajes que incluyen un enlace a un sitio como el siguiente, desde donde el mismo puede ser descargado por el usuario:
http:/ /crazy.????fbi.us:81/crazy.scr
Puede actuar como un troyano de acceso remoto controlado vía IRC, con capacidad de tomar el control del equipo infectado.

Cuando se ejecuta se copia en la carpeta del sistema de Windows con el siguiente nombre:
c:\windows\system\MSMMSGR.EXE
Al mismo tiempo, borra el archivo original (en este caso CRAZY.SCR).

Crea las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MSN MESSENGER = "msmmsgr.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
MSN MESSENGER = "msmmsgr.exe"
HKCU\Software\Microsoft\OLE
MSN MESSENGER = "msmmsgr.exe"
HKLM\System\CurrentControlSet\Control\Lsa
restrictanonymous = " "
El troyano examina si existe una conexión a Internet. Si existe, intenta conectarse al siguiente dominio por el puerto TCP/8126:
mon.pj34r.us
Luego se conecta a un servidor IRC, desde donde puede recibir instrucciones de un usuario remoto.

Actúa como un IRC Bot, esperando las instrucciones en dicho canal. Un BOT es la copia de un usuario en un canal de IRC, preparado para responder y ejecutar ciertos comandos en forma automática (más información en: W32/Rbot. Descripción genérica del gusano "Rbot", http://www.vsantivirus.com/rbot.htm).

Intenta borrar los siguientes recursos compartidos del equipo infectado:
IPC$
ADMIN$
C$
D$
Crea el siguiente mutex como semáforo indicador de que está activo en memoria, y no volverse a ejecutar mientras ello ocurra:
u3
Reinicia el equipo para que el gusano se autoejecute.

Luego, examina los procesos activos, siendo capaz de eliminar aquellos que coincidan con ciertos nombres.

Intenta enviar mensajes a los contactos del MSN Messenger, con enlaces a sitios desde donde el propio troyano puede ser descargado.


Reparación manual
Deshabilitar cualquier conexión a Internet o una red
Es importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza.

AntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.

Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre el siguiente archivo:
c:\windows\system\MSMMSGR.EXE
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\OLE
3. Haga clic en la carpeta "OLE" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
MSN MESSENGER = "msmmsgr.exe"
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
MSN MESSENGER = "msmmsgr.exe"
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
7. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
MSN MESSENGER = "msmmsgr.exe"
8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
\Lsa
9. Haga clic en la carpeta "LSA" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
restrictanonymous = " "
10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Información adicional
Cambio de contraseñas

En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.

Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información: http://www.vsantivirus.com/troj-rbot.htm

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 15865
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
Rbot. Recibe ordenes desde un servidor IRC
« Respuesta #1 en: 10 de Abril de 2005, 07:38:51 pm »
Citar

Este troyano ha sido enviado a través del MSN Messenger, en mensajes que incluyen un enlace a un sitio como el siguiente, desde donde el mismo puede ser descargado por el usuario:
http:/ /crazy.????fbi.us:81/crazy.scr
Puede actuar como un troyano de acceso remoto controlado vía IRC, con capacidad de tomar el control del equipo infectado.

Cuando se ejecuta se copia en la carpeta del sistema de Windows con el siguiente nombre:
c:\windows\system\MSMMSGR.EXE
Al mismo tiempo, borra el archivo original (en este caso CRAZY.SCR).


Gracias Danae

Un saludo

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License