W32/Donk-D

Vea la información para eliminar gusanos.

W32/Donk-D es un gusano de red y troyano de puerta trasera que se copia en unidades compartidas de red con contraseñas débiles y se extiende aprovechando la vulnerabilidad DCOM RPC.

Esta vulnerabilidad permite la ejecución del gusano en equipos remotos con derechos de Sistema. Para más información sobre esta vulnerabilidad y cómo proteger sus equipos, vea Microsoft security bulletin MS03-026.

Al ejecutarse por primera vez, W32/Donk-D se copia en la carpeta System de Windows con los nombres Cool.exe y Wnetlib.exe y crea las siguientes entradas en el registro para activarse en el inicio del sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft System Checkup = wnetlib.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Microsoft System Checkup = wnetlib.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NT Logging Service = syslog32.exe

(W32/Donk-D falla al copiarse como syslog32.exe.)

W32/Donk-D conectará con equipos en la red local con contraseñas no seguras para copiarse en las siguientes carpetas de inicio:

\WINNT\Profiles\All Users\Start Menu\Programs\Startup \WINDOWS\Start Menu\Programs\Startup \Documents and Settings\All Users\Start Menu\Programs\Startup

W32/Donk-D también incluye un componente de puerta trasera que permite el acceso remoto no autorizado al equipo a través de canales IRC.

Cada vez que W32/Donk-D se ejecute, intentará conectar con un servidor IRC en un canal específico. El gusano aguardará entonces los comandos del atacante, que será capaz de realizar diferentes acciones, como obtener información del sistema, descargar archivos, iniciar ataques DDoS y ejecutar programas.