Nombre:Worm/IRCBot.EX
Descubierto:19/08/2005
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:8.275 Bytes
Suma de control MD5:38b3ca593642abdf5a1cfe9183040ca6
Versión del VDF:6.31.1.150

 General Método de propagación:
   • Red local


Alias:
   •  Kaspersky: Backdoor.Win32.IRCBot.ex


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros dañinos
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\ssl.exe



Elimina la copia inicial del virus.



Crea el siguiente fichero:

%WINDIR%\debug\dcpromo.log

 Registro Añade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

– HKLM\system\currentcontrolset\services\ssl
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "DisplayName"="Microsoft SSL"
   • "ObjectName"="LocalSystem"
   • "Description"="Provides communication security between clients and servers over TCP. If this service is stopped, TCP security between clients and servers on the network will be impaired. If this service is disabled, any services that explicitly depend on it will fail to"

– HKLM\system\currentcontrolset\services\ssl\Enum
   • "0"="Root\\LEGACY_SSL\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\system\currentcontrolset\enum\root\legacy_ssl
   • "NextInstance"=dword:00000001

– HKLM\system\currentcontrolset\enum\root\legacy_ssl\0000
   • "Service"="ssl"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Microsoft SSL"

– HKLM\system\currentcontrolset\enum\root\legacy_ssl\0000\Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="ssl"

– HKLM\system\currentcontrolset\services\ssl
   • "ImagePath"= %WINDIR%\ssl.exe

– HKLM\system\currentcontrolset\services\ssl
   • "FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,74,00,20,\
      00,01,00,00,00,00,00,00,00

– HKLM\system\currentcontrolset\services\ssl\Security
   • "Security"=%WINDIR%\ssl.exe



Modifica las siguientes claves del registro:

– HKLM\system\controlset001\control\servicecurrent
   Valor anterior:
   • @=dword:%configuración definida por el usuario%
   Nuevo valor:
   • @=dword:0000000e

– HKLM\software\microsoft\ole
   Valor anterior:
   • "EnableDCOM"="%configuración definida por el usuario%"
   Nuevo valor:
   • "EnableDCOM"="n"

– HKLM\system\currentcontrolset\control\lsa
   Valor anterior:
   • "restrictanonymous"=dword:%configuración definida por el usuario%
   Nuevo valor:
   • "restrictanonymous"=dword:00000001

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Exploit:
Emplea la siguiente brecha de seguridad:
– MS04-011 (LSASS Vulnerability)


Creación de direcciones IP:
Crea direcciones IP aleatorias e intenta establecer una conexión con dichas IPs.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: **********.wallloan.com
Puerto: 18067
Canal: #p5
Apodo: p5-<%serie de caracteres aleatorios%>
Contraseña: wolnqjnr


– Además puede efectuar las siguientes operaciones:
    • Descargar fichero
    • Ejecutar fichero
    • Ejecutar ataque DDoS
    • Realizar un análisis de la red
    • Se actualiza solo

Descripción insertada por Sergiu Oprea el viernes 26 de agosto de 2005
Descripción actualizada por Sergiu Oprea el martes 30 de agosto de 2005

Volver . . . .