Microsoft Update Machine

windns.exe Tipo de proceso: Malware. Gusano de redes y troyno de puerta trasera RBOT.EF

Los comentarios están cerrados.

Microsoft Update Machine

TASKMAN4.EXE Tipo de proceso: Malware. Variante del gusano WIN32.RBOT

Los comentarios están cerrados.

Microsoft Update Machine

winss.exe Tipo de proceso: Malware.

Gusano RBOT.JU de la familia: Win32.Rbot

Todos los gusanos de esta familia suelen tener las siguientes caracteristicas:

Para auto ejecutarse en el arranque del sistema agregan valores en las siguientes claves de registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

en este caso el valor agregado por el gusano en esas claves será:

"Microsoft Update Machine"="winss.exe"

Se propagan de varias formas, prevalentemente a través de las unidades compartidas atacando en los puertos 139 y 445 usando un listado de users y passwords (ataque de vocabulario) y explotando vulnerabilidades del sistema operativo.

Las vulnerabilidades explotadas son una o mas entre las siguientes:

Microsoft Windows LSASS buffer overflow vulnerability (TCP port 445)
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

Microsoft Windows ntdll.dll buffer overflow vulnerability (WebDav vulnerability) (TCP port 80)
http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx

Microsoft Windows RPC malformed message buffer overflow vulnerability (TCP ports 135, 445, 1025)
http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx

Microsoft Windows RPCSS malformed DCOM message buffer overflow vulnerabilities (TCP port 135)
http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx

Exploiting weak passwords on MS SQL servers, including the Microsoft SQL Server Desktop Engine blank ‘sa’ password vulnerability (TCP port 1433)
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q321081

Microsoft Universal Plug and Play (UPnP) NOTIFY directive buffer overflow and DoS vulnerabilities (TCP port 5000)
http://www.microsoft.com/technet/security/bulletin/ms01-059.mspx

DameWare Mini Remote Control Buffer Overflow (TCP port 6129)
http://www.dameware.com/support/security/bulletin.asp?ID=SB2

Poseen capacidades de troyanos y pueden recibir irdenes a través del IRC

Pueden terminar un gran numero de procesos pertenecientes a programas de seguridad y al mismo sistema operativo

Los comentarios están cerrados.