Nombre:Worm/RBot.139264.2
Descubierto:02/09/2005
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:139.264 Bytes
Suma de control MD5:3fef0de491e96a3c15d6bd0be1e1841e
Versión del VDF:6.31.1.196

 General Método de propagación:
   • Red local


Alias:
   •  Symantec: W32.Spybot.Worm
   •  Mcafee: W32/Sdbot.worm.gen.ar
   •  VirusBuster: Worm.Rbot.CIB
   •  Bitdefender: Backdoor.Rbot.AAG


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero dañino
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %sysdir%\windows.pif



Elimina la copia inicial del virus.



Elimina el siguiente fichero:
   • %sysdir%\windows.pif



Crea el siguiente fichero:

– Un fichero temporal, que puede ser eliminado después:
   • %serie de caracteres aleatorios%.exe

– %temp%\del.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.



Intenta descargar un fichero:

– Las direcciones son las siguientes:
   • http://**********.79.160.8/ts32.dll
   • http://**********.79.160.8/sys.dll
El fichero está guardado en el disco duro en: %sysdir%\msdos.pif Además, este fichero es ejecutado después de haber sido completamente descargado. Los análisis adicionales indicaron que este fichero es también viral.

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "MSDOS Security Service"="msdos.pif"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "MSDOS Security Service"="msdos.pif"



Añade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Ole]
   • "MSDOS Security Service"="msdos.pif"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   • "MSDOS Security Service"="msdos.pif"



Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Ole]
   Valor anterior:
   • "EnableDCOM"=%configuración definida por el usuario%
   Nuevo valor:
   • "EnableDCOM"="N"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Valor anterior:
   • "restrictanonymous"=%configuración definida por el usuario%
   Nuevo valor:
   • "restrictanonymous"=dword:00000001

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • admin$
   • Admin$\system32
   • ipc$


Exploit:
Emplea las siguientes brechas de seguridad:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


Creación de direcciones IP:
Crea direcciones IP aleatorias e intenta establecer una conexión con dichas IPs.


Proceso de infección:
Crea un script TFTP o FTP en el equipo afectado para descargar el programa viral en un sistema remoto.

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: **********.security.security32.biz
Puerto: 65528
Contraseña del servidor: gringle
Canal: #udz#
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: shabby123

Servidor: **********.security.updates32.biz
Puerto: 4654
Contraseña del servidor: gringle
Canal: #udz#
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: shabby123

Servidor: **********.security.security32.biz
Puerto: 4564
Contraseña del servidor: gringle
Canal: #udz#
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: shabby123

Servidor: **********.security.updates32.biz
Puerto: 65529
Contraseña del servidor: gringle
Canal: #udz#
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: shabby123

Servidor: **********.service.security32.biz
Puerto: 65528
Contraseña del servidor: gringle
Canal: #udz#
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: shabby123

Servidor: **********.service.updates32.biz
Puerto: 4654
Contraseña del servidor: gringle
Canal: #udz#
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: shabby123

Servidor: **********.service.security32.biz
Puerto: 4564
Contraseña del servidor: gringle
Canal: #udz#
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: shabby123

Servidor: **********.service.updates32.biz
Puerto: 65529
Contraseña del servidor: gringle
Canal: #udz#
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: shabby123

Servidor: **********.security.security32.biz
Puerto: 65528
Contraseña del servidor: gringle
Canal: #tests
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: -s

Servidor: **********.security.updates32.biz
Puerto: 4654
Contraseña del servidor: gringle
Canal: #tests
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: -s

Servidor: **********.security.security32.biz
Puerto: 4564
Contraseña del servidor: gringle
Canal: #tests
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: -s

Servidor: **********.security.updates32.biz
Puerto: 65529
Contraseña del servidor: gringle
Canal: #tests
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: -s

Servidor: **********.service.security32.biz
Puerto: 65528
Contraseña del servidor: gringle
Canal: #tests
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: -s

Servidor: **********.service.updates32.biz
Puerto: 4654
Contraseña del servidor: gringle
Canal: #tests
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: -s

Servidor: **********.service.security32.biz
Puerto: 4564
Contraseña del servidor: gringle
Canal: #tests
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: -s

Servidor: **********.service.updates32.biz
Puerto: 65529
Contraseña del servidor: gringle
Canal: #tests
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: -s



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Usuario actual
    • Espacio libre en el disco
    • Memoria disponible
    • Tiempo de trabajo del programa viral
    • ID de la plataforma
    • Tamaño de la memoria
    • Carpeta de sistema


– Además puede efectuar las siguientes operaciones:
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Desactivar DCOM
    • Desactivar la opción de compartir recursos en la red
    • desconectarse del servidor IRC
    • Descargar fichero
    • Activar DCOM
    • Activar la opción para compartir recursos en la red
    • Ejecutar fichero
    • Ingresar a un canal IRC
    • Salir del canal IRC
    • Abrir remote shell
    • Realizar un análisis de la red
    • Iniciar la rutina de propagación
    • Se actualiza solo
    • Cargar fichero en Internet

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • msdoss

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.

Descripción insertada por Iulia Diaconescu el viernes 2 de septiembre de 2005
Descripción actualizada por Iulia Diaconescu el lunes 19 de septiembre de 2005

Volver . . . .