|
Gusano Aimbot.AE con rootkit y backdoor
|
| Imprimir |
|
 | Esta peligrosa amenaza aprovecha variadas vulnerabilidades en Windows para entrar en el sistema y desarrollar los comandos insertos en su código. Con el backdoor se conecta a canales de IRC (Internet Relay Chat) para recibir instrucciones de su creador, exponiendo profundamente la integridad del ordenador. |
Nombre completo: Worm.W32/Aimbot.AE
Tipo: Gusano de Internet.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 203776
Alias: WORM_AIMBOT.AE (Trend Micro) |
|
En su primera ejecución, los siguientes archivos son creados o descargados desde diversos sitios de la Web:
\Rofl.sys (Elemento rootikit TROJ_ROOTKIT.AE). \TASKMRG.EXE (Copia del malware).
Modifica una clave en el registro para reiniciar sus operaciones junto con Windows y para registrarse como servicio:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Task Manager DisplayName = "Task Manager" ImagePath = %Windows%\taskmrg.exe
Para desactivar la función de Windows update y la protección del cortafuegos, Aimbot.AE crea modificaciones en el registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center UpdatesDisableNotify = "dword:00000001" AntiVirusDisableNotify = "dword:00000001" FirewallDisableNotify = "dword:00000001" AntiVirusOverride = "dword:00000001" FirewallOverride = "dword:00000001"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft
\Windows\WindowsFirewall\DomainProfile
EnableFirewall = "dword:00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
\WindowsFirewall\StandardProfile
EnableFirewall = "dword:00000000"
En Windows XP consigue desactivar la actualización automática del Service Pack 2 mediante la modificación de la siguiente llave:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate DoNotAllowXPSP2 = "dword:00000001"
Más Información:
|
Noticias 
