Nombre:DR/IRCBot.8184.B
Descubierto:19/08/2005
Tipo:Dropper
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:8.219 Bytes
Suma de control MD5:84f9161a7580ca8ae571c41230eaa77d
Versión del VDF:6.31.1.134

 General Método de propagación:
   • Red local


Alias:
   •  Symantec: W32.Esbot.B
   •  Mcafee: W32/Sdbot.worm.gen.by
   •  Kaspersky: Backdoor.Win32.IRCBot.ex
   •  TrendMicro: WORM_ESBOT.C
   •  F-Secure: W32/Ircbot.S
   •  Bitdefender: Win32.Worm.EsBot.B


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Descarga ficheros dañinos
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\wpa.exe



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

%SYSDIR%\wpa.dbl
%WINDIR%\debug\dcpromo.log



Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://**********.com/p5.jpg
El fichero está guardado en el disco duro en: %temporary internet files%\p5.jpg Además, este fichero es ejecutado después de haber sido completamente descargado. Los análisis adicionales indicaron que este fichero es también viral.

 Registro Añade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

– [HKLM\system\currentcontrolset\services\wpa]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "DisplayName"="Windows Product Activation"
   • "ObjectName"="LocalSystem"

– [HKLM\system\currentcontrolset\enum\root\legacy_wpa]
   • "NextInstance"=dword:00000001

– [HKLM\system\currentcontrolset\enum\root\legacy_wpa\0000]
   • "Service"="wpa"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Windows Product Activation"

– [HKLM\system\currentcontrolset\enum\root\legacy_wpa\0000\Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="wpa"

– [HKLM\system\currentcontrolset\services\wpa]
   • "ImagePath"="%SYSDIR%\wpa.exe"

– [HKLM\system\currentcontrolset\services\wpa\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
      00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
      00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
      05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
      20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
      00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
      00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

– [HKLM\system\currentcontrolset\services\wpa]
   • "FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,\
      00,01,00,00,00,00,00,00,00

– [HKLM\system\currentcontrolset\services\wpa]
   • "Description"="Windows Product Activation is an anti-piracy technology designed to verify that software products have been legitimately licensed."



Modifica las siguientes claves del registro:

– [HKLM\system\controlset001\control\servicecurrent]
   Valor anterior:
   • @=dword:%configuración definida por el usuario%
   Nuevo valor:
   • @=dword:0000000e

– [HKLM\software\microsoft\ole]
   Valor anterior:
   • "EnableDCOM"="%configuración definida por el usuario%"
   Nuevo valor:
   • "EnableDCOM"="n"

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Exploit:
Emplea la siguiente brecha de seguridad:
– MS05-039 (Vulnerability in Plug and Play)


Creación de direcciones IP:
Crea direcciones IP aleatorias e intenta establecer una conexión con dichas IPs.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: 68.194.76.**********
Puerto: 18067
Canal: #p4
Apodo: p4-%serie de caracteres aleatorios%
Contraseña: u79duhhk


– Además puede efectuar las siguientes operaciones:
    • Descargar fichero
    • Ejecutar fichero

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Sergiu Oprea el lunes 22 de agosto de 2005
Descripción actualizada por Sergiu Oprea el martes 30 de agosto de 2005

Volver . . . .