Nombre:Worm/RBot.72262
Descubierto:30/08/2005
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:72,262 Bytes
Suma de control MD5:5378ccf46e1f5843d8cc1317452f8c39
Versión del VDF:6.30.0.222

 General Método de propagación:
   • Red local


Alias:
   •  Symantec: W32.Spybot.Worm
   •  Mcafee: W32/Sdbot.worm.gen.l
   •  Kaspersky: Backdoor.Win32.Rbot.gen
   •  TrendMicro: WORM_RBOT.BIQ
   •  Sophos: W32/Rbot-ADV
   •  VirusBuster: Worm.Rbot.BRI
   •  Bitdefender: Backdoor.Rbot.JB


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Reduce las opciones de seguridad
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %sysdir%\SystemDll.exe



Elimina la copia inicial del virus.

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft DLL Extensions"="SystemDll.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft DLL Extensions"="SystemDll.exe"



Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Microsoft DLL Extensions"="SystemDll.exe"



Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Ole]
   Valor anterior:
   • %configuración definida por el usuario%
   Nuevo valor:
   • "EnableDCOM"="N"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Valor anterior:
   • %configuración definida por el usuario%
   Nuevo valor:
   • "restrictanonymous"=dword:00000001

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • c$\windows\system32
   • c$\winnt\system32
   • Admin$\system32


Emplea la siguiente información de inicio de sesión para obtener el acceso al sistema remoto:

– El siguiente listado de nombres de usuario:
   • adm; db2; oracle; dba; database; default; guest; wwwadmin; teacher;
      student; owner; computer; staff; admins; administrat; administrateur;
      administrador; administrator

– El siguiente listado de contraseñas:
   • intranet; lan; main; winpass; blank; office; control; nokia; siemens;
      compaq; dell; cisco; ibm; orainstall; sqlpassoainstall; sql; db1234;
      db1; domain; hello; hell; god; sex; slut; bitch; fuck; exchange;
      backup; technical; loginpass; login; mary; katie; kate; george; eric;
      chris; ian; neil; lee; brian; susan; sue; sam; luke; peter; john;
      mike; bill; fred; joe; jen; bob; qwe; zxc; asd; qaz; win2000; winnt;
      winxp; win2k; win98; windows; oeminstall; oemuser; oem; user;
      homeuser; home; accounting; accounts; internet; www; web; outlook;
      mail; qwerty; null; server; system; changeme; linux; unix; demo; none;
      test; 2004; 2003; 2002; 2001; 2000; 1234567890; 123456789; 12345678;
      1234567; 123456; 12345; 1234; 123; 007; databasepassword; data;
      databasepass; dbpassword; dbpass; access; domainpassword; domainpass;
      pwd; pass; pass1234; passwd; password; password1



Exploit:
Emplea la siguiente brecha de seguridad:
– MS03-026 (Buffer Overrun in RPC Interface)


Creación de direcciones IP:
Crea direcciones IP aleatorias e intenta establecer una conexión con dichas IPs.


Proceso de infección:
Crea un script TFTP en el sistema afectado, para descargar el programa viral en la ubicación remota.

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: sql.**********ggazpwn.net
Puerto: 4447
Canal: #MSNOWN#
Apodo: USA|<%serie de caracteres aleatorios de cinco dígitos%>
Contraseña: durty

Servidor: www.**********age.net
Puerto: 4447
Canal: #MSNOWN#
Apodo: USA|<%serie de caracteres aleatorios de cinco dígitos%>
Contraseña: durty

Servidor: unknown.**********net.net
Puerto: 4447
Canal: #MSNOWN#
Apodo: USA|<%serie de caracteres aleatorios de cinco dígitos%>
Contraseña: durty



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Captura de pantalla
    • Captura de imagen de la webcam
    • Usuario actual
    • Espacio libre en el disco
    • Memoria disponible
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de la red
    • Informaciones acerca de los procesos del sistema
    • Nombre de usuario
    • Actividad local de los usuarios


– Además puede efectuar las siguientes operaciones:
    • Iniciar ataques DDoS por desbordamiento de ICMP
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Iniciar ataques DDoS por desbordamiento de TCP
    • Iniciar ataques DDoS por desbordamiento de UDP
    • Desactivar DCOM
    • Desactivar la opción de compartir recursos en la red
    • Activar DCOM
    • Activar la opción para compartir recursos en la red
    • Ejecutar fichero
    • Terminar proceso
    • Abrir remote shell
    • Ejecutar ataque DDoS
    • Realizar un análisis de la red
    • Reiniciar sistema
    • Enviar mensajes de correo
    • Apagar sistema
    • Iniciar la rutina de propagación
    • Terminar proceso
    • Se actualiza solo
    • Cargar fichero en Internet

 Finalización de los procesos Listado de los procesos finalizados:
   • i11r54n4.exe; irun4.exe; d3dupdate.exe; rate.exe; ssate.exe;
      winsys.exe; winupd.exe; SysMonXP.exe; bbeagle.exe; Penis32.exe;
      teekids.exe; MSBLAST.exe; mscvb32.exe; sysinfo.exe; PandaAVEngine.exe;
      wincfg32.exetaskmon.exe; zonealarm.exe; navapw32.exe; navw32.exe;
      zapro.exe; msblast.exe; netstat.exe; msconfig.exe; regedit.exe


 Robo de informaciones Intenta robar las siguientes informaciones:

– Las siguientes claves de CD:
   • Neverwinter Nights (Hordes of the Underdark); Neverwinter Nights
      (Shadows of Undrentide); Neverwinter Nights; Soldier of Fortune II -
      Double Helix; Hidden & Dangerous 2; Chrome; NOX; Command and Conquer:
      Red Alert 2; Command and Conquer: Red Alert; Command and Conquer:
      Tiberian Sun; Rainbow Six III RavenShield; Nascar Racing 2003; Nascar
      Racing 2002; NHL 2003; NHL 2002; FIFA 2003; FIFA 2002; Shogun: Total
      War: Warlord Edition; Need For Speed: Underground; Need For Speed Hot
      Pursuit 2; Medal of Honor: Allied Assault: Spearhead; Medal of Honor:
      Allied Assault: Breakthrough; Medal of Honor: Allied Assault; Global
      Operations; Command and Conquer: Generals; James Bond 007: Nightfire;
      Command and Conquer: Generals (Zero Hour); Black and White;
      Battlefield Vietnam; Battlefield 1942 (Secret Weapons of WWII);
      Battlefield 1942 (Road To Rome); Battlefield 1942; Freedom Force; IGI
      2: Covert Strike; Unreal Tournament 2004; Unreal Tournament 2003;
      Soldiers Of Anarchy; Legends of Might and Magic; Industry Giant 2;
      Half-Life; Gunman Chronicles; The Gladiators; Counter-Strike (Retail)

– Inicia una rutina de creación de ficheros log después de visitar un sitio web que contiene las siguientes subseries de caracteres en su URL:
   • paypal
   • PAYPAL
   • paypal.com
   • PAYPAL.COM

– Captura:
    • Informaciones para iniciar sesión

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • Susie091

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Iulia Diaconescu el miércoles 31 de agosto de 2005
Descripción actualizada por Iulia Diaconescu el lunes 19 de septiembre de 2005

Volver . . . .