Nombre:Worm/Deborm.Q.1
Descubierto:08/08/2005
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:56.320 Bytes
Suma de control MD5:82d72bbfbfbf98a60ebc2232e201b6d9
Versión del VDF:6.19.0.13

 General Método de propagación:
   • Red local


Alias:
   •  Symantec: W32.HLLW.Nebiwo
   •  Mcafee: W32/Deborm.worm
   •  Kaspersky: W32/Deborm.Q
   •  TrendMicro: WORM_DEBORM.Q
   •  F-Secure: W32/Deborm.Q
   •  Sophos: W32/Deborm-Q
   •  Panda: W32/Deborm.Q
   •  Grisoft: TrojanDropper.Newbiwo
   •  VirusBuster: Worm.Win32.Deborm.Q1
   •  Bitdefender: Win32.Worm.Deborm.A


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

 Ficheros Crea los siguientes ficheros:

%TEMPDIR%\~%serie de caracteres aleatorios de dos dígitos%.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Deborm.Q.3

%TEMPDIR%\~%serie de caracteres aleatorios de dos dígitos%.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Deborm.R.3

 Registro La siguiente clave del registro se encuentra en un bucle infinito, añadido para ejecutar el proceso al reiniciar el sistema.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "NAV Live Update"="%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%"

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • %WINDIR%\Profiles\All Users\Start Menu\Programs\Startup
   • c:\windows\Start Menu\Programs\Startup
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup
   • \WINNT\Profiles\All Users\Start Menu\Programs\Startup
   • \WINDOWS\Start Menu\Programs\Startup
   • \Documents and Settings\All Users\Start Menu\Programs\Startup


Emplea la siguiente información de inicio de sesión para obtener el acceso al sistema remoto:

– El siguiente listado de nombres de usuario:
   • Administrator
   • Guest
   • Owner



Exploit:
Emplea la siguiente brecha de seguridad:
– MS05-039 (Vulnerability in Plug and Play)


Creación de direcciones IP:
Crea direcciones IP aleatorias y guarda los primeros dos octetos de su propia dirección. Luego intenta establecer una conexión con las direcciones generadas.


Ralentización:
– Crea el siguiente número de hilos de ejecución (instancias) infectados: 100
– Según su ancho de banda, podrá notar un descenso de velocidad en la red. Considerando que la actividad de este programa viral en la red es de nivel alto, es probable que la note por más que tenga una conexión de banda ancha.
– Debido a la creación de varios hilos de ejecución en la red, el ordenador infectado se convierte en una máquina lenta y casi inutilisable.


Ejecución remota:
–Intenta programar una ejecución remota del programa viral, en la máquina recién infectada. Por eso emplea la función NetScheduleJobAdd.

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Victor Tone el lunes 8 de agosto de 2005
Descripción actualizada por Oliver Auerbach el viernes 26 de agosto de 2005

Volver . . . .