Rbot.
Nombre completo: Worm-Backdoor.W32/Rbot.UW@LSASS Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [LSASS] - Gusano que se difundiende aprovechando la vulnerabilidad de LSASS (MS04-011) que afecta a Windows 2000 y XP.
Alias:W32/Rbot-UW (Sophos)
Al ejecutarse por primera vez, Rbot.UW se copia en la carpeta del sistema de Windows con el nombre lsassM.exe y crea las siguientes entradas en el registro para activarse en el inicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Default = lsassM.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Default = lsassM.exe
Rbot.UW conecta con un servidor IRC en un canal específico donde aguardará los comandos del atacante, que podrá realizar acciones como:
registrar las pulsaciones del teclado
borrar unidades compartidas de red
robar contraseñas
crear cuentas de administrador
terminar procesos
obtener claves de registro de juegos y aplicaciones
buscar otros ordenadores que infectar
realizar ataques DDoS (distributed denial-of-service)
obtener capturas de pantalla y cámaras WEb.
También abre una puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC
ReparaciónCon un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC.
Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
A continuación hay que editar el registro para deshacer los cambios realizados por el virus.
Elimine las siguientes entradas del registro: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Default = lsassM.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Default = lsassM.exe
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4700
