PROCESOS DE INICIO DE WINDOWS
System Document Application
Estado: MALWARE/VIRUS
Descripcion: W32/Randex.COX, es un gusano que se difunde a través de los recursos compartidos en la red y protegidos por passwords fáciles. Intenta conectarse a un determinado servidor IRC para recibir ordenes remotas de su creador.
Cuando el gusano se ejecuta se copia a sí mismo dentro de:
%system%\msdocument.exe
Nota:
%system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32)
Además modifica una entrada en el registro para poder ejecutarse en el siguiente reinicio del sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"System Document Application"="%system%\msdocument.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"System Document Application"="%system%\msdocument.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"System Document Application"="%system%\msdocument.exe"
Seguidamente el gusano genera un rango de direcciones IP aleatorias e intentará conectarse a dichas direcciones como usuario "Administrador", utilizando una relación de passwords fáciles, si logra accesar el gusano se copiará como "msoffice.exe" y ejecutará a si mismo en el computador atacado.
Iniciar un servidor ident en el puerto TCP 113, de esta manera el gusano recopila información de las computadoras que accesan por esta puerta trasera.
Finalmente se conectará a un servidor IRC en el dominio "nt.chiriroza.net" a través del puerto TCP 24300 y queda a la espera de ordenes remotas de su creador. Las ordenes podrían realizar las siguientes acciones:
Búsqueda de computadores vulnerables con contraseñas de administración débiles y copiarse en estas.
Realizar ataques de inundación UDP y SYN
Obtener información del sistema atacado
Descargar y ejecutar archivos.
Robar el ID de productos Windows y claves de CD de video juegos.
Eliminar recursos compartidos locales.
Iniciar un servidor Proxy socks4
Enviar e-mails desde el computador atacado.