Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Rinbot.Q realiza las siguientes acciones:
- Intenta descargar y ejecutar malware desde la página web www.tg<bloqueado>b.com.
- Se conecta a un determinado servidor para permitir el acceso remoto al sistema.
- Comprueba si hay instalado en el ordenador algún programa para el control de red, como el Ethereal. Si es así, lo elimina, para evitar su detección.
- Finaliza procesos pertenecientes a programas de depuración así como programas de monitorización de rootkits, como el Debugview.
Metodo de Infección
Rinbot.Q crea el archivo MOZILA.EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano.
Rinbot.Q crea la siguiente entrada en el Registro de Windows:
- HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Mozila = %sysdir%\mozila.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante esta entrada, Rinbot.Q consigue ejecutarse cada vez que Windows se inicia.
Método de Propagación
Rinbot.Q se propaga a través de Internet y redes de ordenadores.
1.- Propagación a través de Internet.
Rinbot.Q realiza el siguiente proceso:
- Genera direcciones IP aleatorias.
- Intenta explotar las vulnerabilidades LSASS y en el servidor DNS de Windows en los ordenadores remotos.
- Si lo consigue, transfiere una copia de sí mismo al ordenador remoto que ha comprometido.
2.- Propagación mediante redes de ordenadores.
- Si el ordenador afectado forma parte de una red, Rinbot.Q intenta acceder a los recursos compartidos de red.
- Para ello, emplea nombres de usuario y contraseñas que son típicas o fáciles de adivinar.
- Si consigue acceder, Rinbot.Q realiza copias de sí mismo en dichos recursos compartidos.
Otros Detalles
Rinbot.Q está escrito en el lenguaje de programación Visual C++. Este gusano tiene un tamaño de 270848 Bytes y está comprimido.