Nuevo Win-Worm, W32.HLLW.Deloder

Escrito el 10 Marzo, 2003 – 13:00 | por storm | 769 lecturas

Ayer se empezo a detectar aumentos de trafico en el puerto tcp/445, la causa de esto? ,
un nuevo gusano para maquinas con Windows 2000/XP ha nacido…

El nuevo engendro se dio a conocer como W32.HLWW.Deloder y lo que hace es
buscar por toda la red maquinas con Windows 2000/XP, que permitan conexiones NetBIOS,
e intenta conectarse contra la máquina a través del puerto tcp/445, usando el usuario “Administrator”
y probando una serie de contraseñas. Una vez que logro conectarse al equipo, instala en el mismo
una version del VNC (acceo remoto) oculto (no se ve como que el programa esta corriendo) y acto seguido,
elimina todos los recursos compartidos existentes en la máquina y ejecuta el programa servidor de VNC (inst.exe).
Tambien el gusano se copia a si mismo como DVLDR32.EXE e intenta copiar el archivo INST.EXE (el servidor de VNC) en los siguientes
directorios:

\WINNT\All Users\Start Menu\Programs\Startup\
\WINDOWS\Start Menu\Programs\Startup\
\Documents and Settings\All Users\Start Menu\Programs\Startup\

para asegurarse de este modo que cuando la maquina sea reiniciada, se vuelva a cargar el servidor de VNC.

De este modo, el gusano generoso y bueno, se instalo en nuestra maquina, cerro todos los recursos que por falta de conocimientos
el usuario dejo abiertos a internet, claro, con el detalle que instalo un servidor de VNC en nuestro equipo, permitiendo
a cualquiera conectarse y usar nuestra maquina remotamente.

Mas información:

W32.HLLW.Deloder
http://www.symantec.com/avcenter/venc/data/w32.hllw.deloder.html

Hispasec:
http://www.hispasec.com/unaaldia/1597

Sophos Antivirus:
http://esp.sophos.com/virusinfo/analyses/w32delodera.html

You must be logged in to post a comment.

Buscar: