Nombre:Worm/RB.101376.14.B
Descubierto:15/08/2005
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:101.376 Bytes
Suma de control MD5:ff9b652337043bb7e46f94e50284204f
Versión del VDF:6.31.1.110

 General Método de propagación:
   • Red local


Alias:
   •  Symantec: W32.Spybot.Worm
   •  Mcafee: W32/Sdbot.worm.gen.h
   •  Kaspersky: Backdoor.Win32.Rbot.gen
   •  TrendMicro: WORM_RBOT.CDS
   •  F-Secure: W32/Backdoor.EXW
   •  VirusBuster: Worm.RBot.CEK
   •  Bitdefender: Backdoor.SDBot.054EA1A5


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Descarga ficheros dañinos
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\MSLSA32.exe



Elimina la copia inicial del virus.

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Exploit:
Emplea las siguientes brechas de seguridad:
– MS04-011 (LSASS Vulnerability)


Creación de direcciones IP:
Crea direcciones IP aleatorias e intenta establecer una conexión con dichas IPs.


Proceso de infección:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicación remota.

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: ns1.gol**********.com.ar
Puerto: 65053
Contraseña del servidor: PASS
Canal: #g-scan#
Apodo: [0]USA|%serie de caracteres aleatorios de dos dígitos%
Contraseña: argrulex

Servidor: ns1.gol**********.com.ar
Puerto: 65053
Contraseña del servidor: PASS
Canal: #g-down1#
Apodo: [0]USA|%serie de caracteres aleatorios de dos dígitos%
Contraseña: argrulex

Servidor: ns1.gol**********.com.ar
Puerto: 65080
Contraseña del servidor: PASS
Canal: #g-down2#
Apodo: [0]USA|%serie de caracteres aleatorios de dos dígitos%
Contraseña: argrulex



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Usuario actual
    • Espacio libre en el disco
    • Memoria disponible
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de la red
    • Tamaño de la memoria
    • Carpeta de sistema


– Además puede efectuar las siguientes operaciones:
    • Descargar fichero
    • Ingresar a un canal IRC
    • Terminar proceso
    • Salir del canal IRC

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • st@ch3ndr4th-l4st-v3r

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • ASPack 2.12

Descripción insertada por Victor Tone el jueves 25 de agosto de 2005
Descripción actualizada por Victor Tone el lunes 29 de agosto de 2005

Volver . . . .