Nombre:Worm/IRCBot.EV.1
Descubierto:24/08/2005
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:38.400 Bytes
Suma de control MD5:7551ca56b533e6ba86d3c0b2b4c8485e
Versión del VDF:6.31.1.158

 General Métodos de propagación:
   • Red local
   • Unidades de red mapeadas


Alias:
   •  Symantec: W32.IRCBot
   •  Kaspersky: Backdoor.Win32.IRCBot.ev
   •  TrendMicro: BKDR_IRCBOT.AS
   •  Sophos: W32/Sdbot-Fam
   •  VirusBuster: Worm.SdBot.BDZ
   •  Bitdefender: BehavesLike:Win32.IRC-Backdoor


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\WOWCRAK.EXE

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "MEsnemd"="wowcrak.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "MEsnemd"="wowcrak.exe"

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • C$\windows\system32\
   • C$\Documents and Settings\All Users\Documents\
   • C$\shared\
   • C$\winnt\system32\
   • ADMIN$\system32\


Emplea la siguiente información de inicio de sesión para obtener el acceso al sistema remoto:

– El siguiente listado de contraseñas:
   • 123qwe123; zaqxsw; zaq123; motdepass; **********; billgate;
      billgates; fred; bill; intranet; staff; teacher; student1; student;
      user1; afro; turnip; glen; freddy; internet; lan; nokia; ctx; 666;
      qweasdzxc; zxcvbnm; 123qaz; 123qwe; qwe123; qazwsx; qweasd; zxc123;
      pass1234; pwd; pass; passwd; admin; administrador; administrateur;
      administrator



Exploit:
Emplea la siguiente brecha de seguridad:
– MS04-011 (LSASS Vulnerability)

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: **********.mybizz.info
Puerto: 1125
Canal: #mm
Apodo: E%serie de caracteres aleatorios de ocho dígitos%


– Además puede efectuar las siguientes operaciones:
    • conectarse al servidor IRC
    • desconectarse del servidor IRC
    • Activar la opción para compartir recursos en la red
    • Ingresar a un canal IRC
    • Salir del canal IRC
    • Iniciar la rutina de propagación

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • vwevqwdw

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea los siguientes programas de compresión de ejecutables:
   • Morphine
   • FSG

Descripción insertada por Alexandru Tudor el jueves 25 de agosto de 2005
Descripción actualizada por Alexandru Tudor el lunes 29 de agosto de 2005

Volver . . . .