Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/Rootcmd. Identificación de ROOT.EXE en Windows NT/2000
 
VSantivirus No. 493 - Año 6 - Martes 13 de noviembre de 2001

Nombre: Rootcmd
Tipo: Caballo de Troya de acceso remoto
Fecha: 25/oct/01

El gusano CodeRed.C, como parte de su rutina de infección, copia el shell de comandos de Windows, CMD.EXE, ubicado en el directorio de sistema de Windows (c:\winnt\system32\cmd.exe), a los siguientes directorios, si estos existen, pero con el nombre de ROOT.EXE:

c:\inetpub\scripts\root.exe
d:\inetpub\scripts\root.exe
c:\progra~1\common~1\system\MSADC\root.exe
d:\progra~1\common~1\system\MSADC\root.exe

Un sistema así modificado, aún sin la infección del CodeRed presente, habilita a un atacante externo, a tomar el control total del servidor Web a través del envío de solicitudes HTTP GET, para ejecutar el archivo SCRIPTS/ROOT.EXE en el servidor infectado, y de ese modo lanzar scripts, otros troyanos, etc.

También el gusano Sadmind copia el comando CMD.EXE como ROOT.EXE en ubicaciones similares.

Estas copias del CMD.EXE son identificadas por antivirus como McAfee, como Rootcmd, y si bien no son archivos infectados, su presencia en directorios diferentes al del sistema (CMD.EXE normalmente se encuentra en la carpeta WINNT\SYSTEM32) es una situación de alto riesgo para su servidor o sistema bajo Windows NT o 2000.

El borrado de los archivos ROOT.EXE en ubicaciones como las nombradas (o el propio CMD.EXE fuera de SYSTEM32), es suficiente para disminuir el riesgo.

Más información:

VSantivirus No. 394 - 6/ago/01
CodeRed. La tercera versión del gusano examinada a fondo
http://www.vsantivirus.com/codered3.htm

VSantivirus No. 393 - 5/ago/01
Aparece nueva variante del CodeRed con puerta trasera
http://www.vsantivirus.com/05-08-01.htm

VSantivirus No. 308 - 12/may/01
Trojan: Sadmin-IIS. Gusano que compromete a Solaris y a IIS
http://www.vsantivirus.com/sadmin-iis.htm


Fuente: Network Associates

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2001 Video Soft BBS