PROCESOS DE INICIO DE WINDOWS
Windows Firewall Manager
Estado: MALWARE/VIRUS
Descripcion:
Gusano: RBOT.WR
Gusano que se propaga a través de unidades compartidas realizando ataques de vocabulario.
Toma ventaja de las siguientes vulnerabilidades de Windows:
Buffer Overflow in Universal Plug and Play
Buffer Overflow in SQL Server 2000
IIS/WebDAV vulnerability
Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) vulnerability
Windows LSASS vulnerability
WORM_BAGLE, WORM_MYDOOM, BKDR_OPTIX, BKDR_NETDEVIL, BKDR_KUANG and BKDR_SUB7 variants
DameWare
Estas vulnerabilidades son discutidas aqui:
Microsoft Security Bulletin MS02-059
Microsoft Security Bulletin MS02-061
Microsoft Security Bulletin MS03-026
Microsoft Security Bulletin MS03-007
Microsoft Security Bulletin MS04-011
Posee caracteristicas de troyano
Para ejecutarse en el arranque del sistema crea el valor:
Windows Firewall Manager = "msfw.exe"
en las siguientes entradas de registro :
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Runservices
HKEY_CURRENT_USER>Software>Microsoft>OLE