Nombre:Worm/IRCBot.EW
Descubierto:23/08/2005
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:8.204 Bytes
Suma de control MD5:d5f5c6768beea05a6c0d72ecb69d27d1
Versión del VDF:6.31.1.166

 General Método de propagación:
   • Red local


Alias:
   •  Symantec: W32.Esbot.A
   •  Mcafee: W32/IRCbot.worm.gen
   •  Kaspersky: Backdoor.Win32.IRCBot.ew
   •  F-Secure: W32/Ircbot.T
   •  Bitdefender: Backdoor.Ircbot.EW


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\mousemm.exe



Elimina la copia inicial del virus.



Crea el siguiente fichero:

%WINDIR%\debug\dcpromo.log

 Registro Añade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\mousemm]
   • "Type"=dword:00000110
     "Start"=dword:00000002
     "ErrorControl"=dword:00000000
     "ImagePath"=%configuración definida por el usuario%
     "DisplayName"="Mouse Movement Monitor"
     "ObjectName"="LocalSystem"
     "FailureActions"=%configuración definida por el usuario%
     "Description"="Enables a computer to maintain synchronization with a PS/2 pointing device. Stopping or disabling this service will result in system instability."

– [HKLM\SYSTEM\CurrentControlSet\Services\mousemm\Security]
   • "Security"=%configuración definida por el usuario%
     

– [HKLM\SYSTEM\CurrentControlSet\Services\mousemm\Enum]
   • "0"="Root\\LEGACY_MOUSEMM\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001



Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Ole]
   Valor anterior:
   • "EnableDCOM"=%configuración definida por el usuario%
   Nuevo valor:
   • "EnableDCOM"="n"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Valor anterior:
   • "restrictanonymous"=%configuración definida por el usuario%
   Nuevo valor:
   • "restrictanonymous"=dword:00000001

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Exploit:
Emplea la siguiente brecha de seguridad:
– MS05-039 (Vulnerability in Plug and Play)

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: **********.is-a-fag.net
Puerto: 18067
Canal: #p1
Apodo: p1-%serie de caracteres aleatorios de ocho dígitos%
Contraseña: 8mfpdofw

Servidor: **********.legi0n.net
Puerto: 18067
Canal: #p1
Apodo: p1-%serie de caracteres aleatorios de ocho dígitos%
Contraseña: 8mfpdofw


– Además puede efectuar las siguientes operaciones:
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Iniciar ataques DDoS por desbordamiento de UDP
    • Descargar fichero
    • Ejecutar fichero
    • Terminar proceso
    • Ejecutar ataque DDoS
    • Realizar un análisis de la red
    • Iniciar la rutina de propagación
    • Terminar proceso

 Backdoor (Puerta trasera) Abre el siguiente puerto:

%ficheros ejecutados% en el puerto TCP 30722 para proporcionar capabilidades de backdoor.

 Inyectar el código viral en otros procesos – Se inyecta en un proceso.

    Nombre del proceso:
   • explorer.exe

   Si la operación falla, el programa malicioso sigue ejecutándose como proceso.

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • mousemm

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • MEW 11

Descripción insertada por Razvan Olteanu el jueves 1 de septiembre de 2005
Descripción actualizada por Razvan Olteanu el jueves 1 de septiembre de 2005

Volver . . . .