::    Identificarse  o  Registrarse    ::                                          ::    Numero de miembros: 245.716    ::    Registrados ayer: 531    ::    On-line: 506  ::
Trucos para Windows
Indice    Foros     Descargas    Elinks    Noticias    Procesos    SiteMap

PROCESOS DE INICIO DE WINDOWS



Google
 
Web trucoswindows.net


Win32 USB Driver

Nombre del comando: winxpinit.exe

Estado: MALWARE/VIRUS        malware


Descripcion: Trojan/Sdbot.AA, es un troyano que permite el acceso remoto y no permitido de un intruso a la computadora infectada. También se aprovecha de la vulnerabilidad LSASS Buffer Overrun, descrito en el boletín de seguridad MS04-011 de Microsoft:

http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

Cuando el troyano se ejecuta se copia a si mismo dentro de:

%system%\winxpinit.exe

Además crea una entrada en el registro para poder ejecutarse en el siguiente reinicio del sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Win32 USB Driver"="%system%\winxpinit.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
"Win32 USB Driver"="%system%\winxpinit.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"Win32 USB Driver"="%system%\winxpinit.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Win32 USB Driver"="%system%\winxpinit.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
"Win32 USB Driver"="%system%\winxpinit.exe"

También crea un servicio llamado "Win32 USB2 Driver" que apunta a %system%\winxpinit.exe, para registrar dicho servicio modifica la siguiente entrada en el registro del sistema:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services

Seguidamente el troyano genera un rango de direcciones IP, para luego intentar conectarse a la carpeta compartida IPC$ de un sistema remoto, utilizando una relación de usuarios y passwords. Si el troyano logra accesar se copiara a si mismo en las siguientes carpetas:


\IPC$
\D$
\print$
\c$
\Admin$
\c$\windows\system32
\c$\winnt\system32
\Admin$\system32

Intentará establecer comunicación con un determinado servidor IRC [afraid4.sytes.net] a través del puerto TCP 6667, si logra conectarse queda a la espera de recibir ordenes remotas del atacante, las ordenes podrian realizar las siguientes acciones:


Enviar información de la computadora atacada.
Manipular los archivos del sistema.
Descargar y ejecutar archivos.
Ejecutar un servidor HTTP.
Recuperar archivos via HTTP y FTP.
Realizar ataques de Denegación de Servicio (DoS).
Robar direcciones de email de la libreta de direcciones de Windows y el MSN.
Iniciar y detener servicios.
Administrar procesos.
Capturar pulsaciones del teclado.

Finalmente roba claves de CD de los siguientes programas:
Battlefield 1942
Battlefield 1942 Road To Rome
Command & Conquer Generals
Counter-Strike
FIFA 2003
Half-Life
Need For Speed Hot Pursuit 2
Neverwinter Nights
Project IGI 2
Rainbow Six III RavenShield
Soldier of Fortune II - Double Helix
Unreal Tournament 2003





[ pagina generada en: 0.0452 segundos]   [ 8 llamadas a la base de datos ]  [ Contactanos ]

TWs-SEO v1.0