W32.Spybot.Worm

Nivel de riesgo 2: Bajo

Página de impresión

Detectado: 16 de Abril de 2003

Actualizado: 13 de Febrero de 2007 12:25:41 PM

También conocido como: Worm.P2P.SpyBot.gen [Kaspersky, W32/Spybot-Fam [Sophos], W32/Spybot.worm.gen [McAfee], WORM_SPYBOT.GEN [Trend], Win32.Spybot.gen [Computer Ass

Tipo: Gusano

Longitud de la infección: various

Sistemas afectados: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

W32.Spybot.Worm es un gusano que se detecta dentro de la familia de gusanos que se valen de KaZaA archivos compartidos y mIRC. Este gusano, también se puede dispersar en equipos que están infectados con Caballo de Troya que utilizan un backdoor común.

W32.Spybot.Worm puede realizar varias funciones tipo backdoor al conectarse a un servidor configurable IRC y agregar un canal específico para escuchar instrucciones.

Las nuevas variantes también se pueden dispersar por medio de la explotación de las siguientes vulnerabilidades:

La vulnerabilidad DCOM RPC (descrita en Microsoft Security Bulletin MS03-026) utilizando el puerto TCP 135.
El desbordamiento de Buffer por Servicio Remoto de autoridad de Seguridad Local en Microsoft Windows (descrita en Microsoft Security Bulletin MS04-011).
La vulnerabilidad en Microsoft SQL Server 2000 o MSDE 2000 audit (descrita en Microsoft Security Bulletin MS02-061) utilizando el puerto UDP 1434.
La vulnerabilidad WebDav (descrita en Microsoft Security Bulletin MS03-007) utilizando el puerto TCP 80.
El desbordamiento de Buffer UPnP NOTIFY (descrito en Microsoft Security Bulletin MS01-059).
La vulnerabilidad de desbordamiento de servicio de Buffer de estaciones de trabajo (descrita en Microsoft Security Bulletin MS03-049) utilizando el puerto TCP 445. Los usuarios con Windows XP se protegen de esta vulnerabilidad al aplicar el parche descrito en Microsoft Security Bulletin MS03-043. Los usuarios con Windows 2000 deben aplicar el parche descrito en Microsoft Security Bulletin MS03-049.

Nota: Las definiciones de virus con fecha del 8 de octubre del 2003 contienen una detección modificada de W32.Spybot.Worm, las cuales cuentan con variantes sencillas descubiertas el 7 de octubre del 2003.

Protección

Versión inicial de definiciones de Respuesta rápida 16 de Abril de 2003
Última versión de definiciones de Respuesta rápida 9 de Noviembre de 2009 revisión 002
Versión inicial de definiciones Certificadas diariamente 16 de Abril de 2003 revisión 007
Última versión de definiciones Certificadas diariamente 9 de Noviembre de 2009 revisión 003
Versión inicial de definiciones Certificadas semanalmente 16 de Abril de 2003

Haga clic aquí para obtener una descripción detallada de las definiciones de virus de Respuesta rápida y de las Certificadas diariamente.

Evaluación de las amenazas

Invasión

Nivel de invasión: Media
Número de infecciones: More than 1000
Número de sitios: More than 10
Distribución geográfica: Alta
Contención de las amenazas: Facilidad
Eliminación: Moderado

Daño

Nivel del daño: Media
Publica información confidencial: Envía información personal a un canal IRC.
Pone en peligro la configuración de seguridad: Permite la ejecución de comandos no autorizados en un equipo infectado.

Distribución

Nivel de distribución: Media
Unidades compartidas: Se dispersa por medio de archivos compartidos con KaZaA, así como a través de mIRC.

Artículo de: Douglas Knowles

Datos técnicos