Puerta trasera. Detalles del virus Win32.Rbot.bmr

Win32. Rbot es un virus (o bot) que utiliza una puerta trasera de control IRC para acceder a máquinas infectadas sin autorización. También tiene una característica similar a un gusano que le permite ingresar mediante contraseñas débiles, aprovecha muchas vulnerabilidades de software diferentes para propagarse y también puede aprovechar puertas traseras generadas por otros programas maliciosos para propagarse. Rbot tiene muchas variantes, que son altamente configurables y se desarrollan rápidamente, pero las funciones principales de las diferentes variantes son las mismas.

Las distintas variantes de Rbot son programas ejecutables Win32 con diferentes formatos. Tiene las siguientes características:

En tiempo de ejecución, la clave de registro se modifica para garantizar que el virus se ejecute cada vez que se inicia el sistema:

HKLM\Software\Microsoft\Windows\Current Versión\Ejecutar\HKLM\Software\Microsoft\Windows\CurrentVersion\RunService\

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\HKCU\Software\Microsoft\Windows\CurrentVersion\Run Services\

p>

El gusano también modifica el siguiente registro:

HKLM\Software\Microsoft\Ole\

HKLM\System\Current Control Set\Control\Lsa \

HKCU \Software\Microsoft\Ole\

HKCU \System\Current Control Set\Control\Lsa\

Escucha algunos puertos TCP locales, esperando conexiones, para implementar la función de puerta trasera.

Conéctese a un canal específico de un servidor IRC específico (como el puerto 64444 de real.profess.us), acepte el control de piratas informáticos y envíe información del sistema local. Reciba los comandos del hacker y ejecútelos localmente. Y envíe los resultados de la ejecución al canal de chat IRC. Después de establecer la comunicación, reciba comandos de control remoto.

1. Establezca un servidor FTP para proporcionar servicios de carga y descarga de archivos.

2. Adivine la contraseña de conexión ipc de otras máquinas en la LAN. Una vez conectado correctamente, copie el virus y ejecútelo para causar nuevos daños. El virus viene con un diccionario de contraseñas que contiene más de 100 combinaciones simples de números, letras y palabras.

Solución:

La mayoría de los programas antivirus actuales pueden eliminar este virus. Actualice el software antivirus a la última versión, reinicie, ingrese al modo seguro y realice un análisis completo. Si descubre que no se puede limpiar, puede configurar el análisis de inicio del software antivirus para que coopere con la eliminación del modo seguro.

Suplemento:

La puerta trasera anterior significa puerta trasera, que es una forma de nombrar los virus mediante el software antivirus. Win32 se refiere a aplicaciones de 32 bits que infectan Windows, Rot es el nombre específico del virus y bmr es el símbolo de la variante.

Ver solución arriba.