WORM_SLENBOT.AB
a variant of Win32/Kryptik.SYB (Eset), Trojan.Win32.Genome.aabbm (Kaspersky), Win32.SuspectCrc (Ikarus), W32/Dx.BAGU!tr (Fortinet)
Windows
Tipo di minaccia informatica:
Worm
Distruttivo?:
No
Crittografato?:
In the wild::
³§¨¬
Panoramica e descrizione
Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.
Aprovecha las vulnerabilidades del software para propagarse a otros equipos de la red.
Dettagli tecnici
Detalles de entrada
Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.
±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô
Infiltra los archivos siguientes:
- \.\rotcetorp
- %User Profile%\userdiff.sav
- %System%\userdiff.sav
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).)Crea las siguientes copias de s¨ª mismo en el sistema afectado:
- %User Profile%\{random filename}.exe
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)T¨¦cnica de inicio autom¨¢tico
Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
MSConfig = "%User Profile%\{random filename}.exe \u"
Modifique las siguientes entradas de registro para garantizar su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe"
±Ê°ù´Ç±è²¹²µ²¹³¦¾±¨®²Ô
Aprovecha las vulnerabilidades de software siguientes para propagarse a otros equipos de la red:
- para permitir la exploraci¨®n completa del equipo.
Step 2
Reiniciar en modo seguro
Step 3
Eliminar este valor del Registro
Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- MSConfig = "%User Profile%\{random filename}.exe \u"
- MSConfig = "%User Profile%\{random filename}.exe \u"
Step 4
Buscar y eliminar este archivo
- \.\rotcetorp
- %User Profile%\userdiff.sav
- %System%\userdiff.sav
- %User Profile%\{random filename}.exe
Step 5
Reinicie en modo normal y explore el equipo con su producto de live casino online para buscar los archivos identificados como WORM_SLENBOT.AB En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.
Step 6
Descargar y aplicar este parche de seguridad No utilice estos productos hasta que se hayan instalado los parches adecuados. live casino online recomienda a los usuarios que descarguen los parches cr¨ªticos en cuanto los proveedores los pongan a su disposici¨®n.