W32/Rbot.GUR

El gusano se ejecuta contínuamente en segundo plano, mientras activa su Backdoor que se conectará a un servidor del IRC (Internet Chat Relay) con un BOT que ejecutará acciones arbitrarias en forma automática y remota. 

Desestabiliza la seguridad del sistema inhabilitando servicios.

Infecta a Windows 98/NT/2000/XP/Vista y Server 2003, está desarrollado en MS Visual C++ con una extensión de 89KB y comprimido con el utilitario ASProtect.

Una vez ingresado, el gusano se copia al directorio %System% como nlczty.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:

Al siguiente inicio del equipo, para impedir la ejecución automática de otros programas, crea las sub-llaves:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv]
Start = 4

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess]
Start = 4

Para desestabilizar la seguridad del sistema y el Firewall de Windows, agrega valores a las siguientes sub-llaves:

[HKEY_CURRENT_USER\Software\Microsoft\OLE]
Microsoft Update Machine = nlczty.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
MaxConnectionsPer1_0Server = 50

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
MaxConnectionsPerServer = 50

[HKEY_LOCAL_MACHINE\Software\Microsoft\Ole]
EnableDCOM = N

Como Backdoor se conecta a través de un puerto TCP aleatorio a un servidor IRC (Internet Chat Relay) y une a un canal de Chat cifrado que contiene un BOT desde el cual recibirá instrucciones pudiendo ejecutar las siguientes acciones en forma remota:

• Descargar y ejecutar archivos con códigos malignos
• Capturar y enviar una información del sistema
• Activar y ejecutar un srvidor FTP
• Activar y ejecutar un servidor Proxy
• Revisar puertos
• Interceptar paquetes con el método Sniffing
• Iniciar ataques de Denegación de Servicios (DDoS) 

PER ANTIVIRUS® versiones 10.2 y 10.3 con registro de virus al 31 de Octubre del 2007 detectan y eliminan este gusano/backdoor.