Antivirus and Security Software from Sophos

W32/Rbot-GR

Alias
  • Backdoor.Rbot.gen
  • W32/Sdbot.worm.gen.g
  • W32.Spybot.Worm
Catégorie
Type
Action à mener
Prévalence faible Forte

Récapitulatif

 
Comment il se propage
  • Partages réseau
Systèmes d'exploitation affectés Windows
Caractéristiques
  • S'installe dans le registre
Protection disponible depuis 20 août 2004 09:25:28 (GMT)
Détecté par Tous les produits Sophos
Download Détection des virus gratuite
Test de détection des menaces
  • Détection gratuite des virus et spywares
  • Vérification de votre protection antivirus actuelle
  • Votre antivirus est-il vraiment efficace ?

Action

Plus d'informations

W32/Rbot-GR est un ver avec des fonctionnalités de cheval de Troie de porte dérobée.

W32/Rbot-GR est capable de se propager sur les ordinateurs du réseau local protégés par des mots de passe faibles suite à la réception de la commande de porte dérobée appropriée. Le ver peut aussi se propager en exploitant de nombreuses failles.

W32/Rbot-GR peut être utilisé pour voler des mots de passe et des clés de produits de nombreux jeux et applications. W32/Rbot-GR est un ver avec des fonctionnalités de cheval de Troie de porte dérobée.

W32/Rbot-GR est capable de se propager sur les ordinateurs du réseau local protégés par des mots de passe faibles suite à la réception de la commande de porte dérobée appropriée.

W32/Rbot-GR peut aussi se propager en exploitant les failles suivantes :

WebDav (MS03-007)
DCOM (MS03-039, MS04-012)
UPNP (MS01-059)
Serveurs SQL Microsoft protégés par des mots de passe faibles.
Dépassement de capacité du tampon dans certaines versions de DameWare (CAN-2003-1030)
Portes dérobées laissées ouvertes par d'autres vers et chevaux de Troie tels que W32/MyDoom,Troj/Optix,Troj/Kuang et Troj/NetDevil.

Lorsqu'il est exécuté pour la première fois, W32/Rbot-GR se copie dans le dossier Système Windows sous le nom SYSTEMC32.EXE et exécute cette copie du ver. La copie tente alors de supprimer le fichier original. Pour s'exécuter à chaque démarrage de Windows, W32/Rbot-GR paramètre les entrées de registre suivantes :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Updates = systemc32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Microsoft Updates = systemc32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Updates = systemc32.exe

Le ver fonctionne en permanence en tâche de fond fournissant un accès de porte dérobée à l'ordinateur infecté.

Le composant de porte dérobée de W32/Rbot-GR peut être utilisé pour :

  • Lancer des attaques par Déni de service distribué (DDOS) en utilisant ICMP, SYN et UDP.
  • Rediriger le trafic TCP et SOCKS4.
  • Fournir un shell de connexion distant.
  • Télécharger des fichiers en amont et en aval puis les exécuter.
  • Installer un serveur de fichier HTTP et TFTP.
  • Voler des mots de passe (y compris les informations concernant les comptes PayPal).
  • Enregistrer les frappes de touches.
  • S'emparer de captures d'écran.
  • S'emparer de captures d'écran de webcam et de vidéos.
  • Inventorier et arrêter des processus.
  • Ouvrir et fermer des failles.
  • Passer en revue les ports à la recherche de failles sur d'autres machines distantes.
  • Envoyer des courriels selon les instructions de l'utilisateur distant.
  • Vider les mémoires caches DNS et ARP .
  • Eteindre la machine.

W32/Rbot-GR peut être utilisé pour voler les détails d'enregistrement et de clé de plusieurs jeux d'ordinateur tels que :

Counter-Strike
The Gladiators
Gunman Chronicles
Half-Life
Industry Giant 2
Legends of Might and Magic
Soldiers Of Anarchy
Microsoft Windows Product ID
Unreal Tournament 2003
Unreal Tournament 2004
IGI 2: Covert Strike
Freedom Force
Battlefield 1942
Battlefield 1942 (Road To Rome)
Battlefield 1942 (Secret Weapons of WWII)
Battlefield Vietnam
Black and White
Command and Conquer: Generals (Zero Hour)
James Bond 007: Nightfire
Command and Conquer: Generals
Global Operations
Medal of Honor: Allied Assault
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault: Spearhead
Need For Speed Hot Pursuit 2
Need For Speed: Underground
Shogun: Total War: Warlord Edition
FIFA 2002
FIFA 2003
NHL 2002
NHL 2003
Nascar Racing 2002
Nascar Racing 2003
Rainbow Six III RavenShield
Command and Conquer: Tiberian Sun
Command and Conquer: Red Alert
Command and Conquer: Red Alert 2
Chrome
NOX
Hidden & Dangerous 2
Soldier of Fortune II - Double Helix
Neverwinter Nights
Neverwinter Nights (Shadows of Undrentide)
Neverwinter Nights (Hordes of the Underdark)

W32/Rbot-GR peut modifier les entrées de registre suivantes :

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = N
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = 1

W32/Rbot-GR peut créer et supprimer les partages réseau sur l'ordinateur infecté.

RSS|Atom
Rapports sur les menaces de virus et de spywares les plus récentes envoyées à votre ordinateur