Nuevo gusano por la red: 32.HLLW.Deloder

por Galache 10/03/2003 ...

En reglas generales, se trata de un virus que recorre la red en busca de equipos con Windows 2000/XP que permita conexiones NetBIOS.

NetBIOS viene de “Network basic Input/Output System” y se trata de un estándar de facto desarrollado por IBM que provee el interfaz entre el sistema operativo, el bus de Entrada/Salida y la red.

El virus intenta introducirse en los equipos usando el puerto tcp/445 con el fin de instalar una copia del servidor de control remoto VNC de manera oculta, sin notar cambio aparente en la barra de tareas de Windows.

El acceso a los equipos lo realiza como tipo de usuario “Administrador” con lo que consigue un acceso total sobre el equipo, con todos los permisos, valiéndose de una serie fija de contraseñas.

Si consigue el acceso, crea una copia de sí mismo con el nombre “dvldr32.exe” y copia los archivos “inst.exe” en:

-- \WINNT\All Users\Start Menu\Programs\Startup

-- \WINDOWS\Start Menu\Programs\Startup

-- \Documents and Settings\All Users\Start Menu\Programs\Startup

al tratarse de posibles carpetas de inicio en las distintas versiones de Windows.

Finalmente, elimina los recursos compartidos y ejecuta el servidor VNC.


Tags: Redes

Más información: http://www.vnunet.es