W32/Rbot.GMD

Sin embargo afecta a las copias ilegales de Windows, sin derecho a actualizaciones automáticas.

Infecta a Windows 98/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++ con una extensión de 68KB y comprimido con el utilitario ASPack:

El gusano se ejecuta continuamente en segundo plano, mientras activa su componente Backdoor.

Una vez ingresado, el gusano se copia a la carpeta %System% con el nombre de bzdcypa.exe y para activarse la próxima vez que se re-inicie el sistema, agrega la siguiente llave:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows LoL Layer" = "%system%\[nombre_aleatorio].exe

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows LoL Layer" = "%system%\[nombre_aleatorio].exe

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Windows LoL Layer" = "%system%\[nombre_aleatorio].exe

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

para restringir el acceso a conexiones anónimas modifica la sub-llave: 

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa]
"Restrictanonymous" = "1"

El troyano rastrea los sistemas conectados a Internet que tengan las vulnerabilidades mencionadas.

Actuando como Backdoor se conecta a través de cualquier puerto TCP que se encuenter abiero a un servidor IRC (Internet Chat Relay) y se une a un canal de Chat cifrado que contiene un Bot desde el cual recibirá instrucciones pudiendo ejecutar las siguientes acciones:

• Descargar y ejecutar archivos con códigos malignos
• Capturar y enviar una información completa del sistema.
• Capturar teclas digitadas.
• Capturar contraseñas
• Reiniciar, detener o apagar el sistema infectado. 

PER ANTIVIRUS® versión 10.1 con registro de virus al 18 de Mayo del 2007 detecta y elimina este gusano/backdoor.