Nombre:Worm/IRCBot.FU
Descubierto:06/09/2005
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:197.632 Bytes
Suma de control MD5:dace533a43e910fa460159247b8fb8ec
Versión del VDF:6.31.1.210

 General Método de propagación:
   • Red local


Alias:
   •  Kaspersky: Backdoor.Win32.IRCBot.fu
   •  TrendMicro: BKDR_IRCBOT.AQ
   •  VirusBuster: Worm.IRCBot.DU
   •  Bitdefender: Backdoor.IRCBot.FU


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Suelta una copia suya en el sistema, escogiendo el nombre del fichero de un listado:
– Para: %SYSDIR% Empleando uno de los siguientes nombres:
   • logon.exe
   • firewall.exe
   • algs.exe
   • explorer.exe
   • Isass.exe
   • iexplore.exe
   • spoolsvc.exe
   • winamp.exe
   • csrs.exe




Elimina la copia inicial del virus.



Crea los siguientes ficheros:

%SYSDIR%\aspr_keys.ini
%directorio donde se ejecuta el programa viral%\aspr_keys.ini
%directorio donde se ejecuta el programa viral%\%serie de caracteres aleatorios%.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Logon Application"="%SYSDIR%\logon.exe"
   • "Application Layer Gateway Service"="%SYSDIR%\algs.exe"
   • "Windows Explorer"="%SYSDIR%\explorer.exe"
   • "Local Security Authority Service"="%SYSDIR%\Isass.exe"
   • "Microsoft Internet Explorer"="%SYSDIR%\iexplore.exe"
   • "Spooler SubSystem App"="%SYSDIR%\spoolsvc.exe"
   • "Winamp Agent"="%SYSDIR%\winamp.exe"
   • "Client Server Runtime Process"="%SYSDIR%\csrs.exe"
   • "Windows Network Firewall"="%SYSDIR%\firewall.exe"

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • c$\windows
   • c$\winnt
   • d$\shared
   • e$\shared
   • print$
   • IPC$
   • admin$
   • admin$\system32


Emplea la siguiente información de inicio de sesión para obtener el acceso al sistema remoto:

–Contraseñas y nombres de usuarios almacenados.

– El siguiente listado de nombres de usuario:
   • "staff"; "teacher"; "owner"; "student"; "intranet"; "lan"; "main";
      "office"; "control"; "siemens"; "compaq"; "dell"; "cisco"; "ibm";
      "oracle"; "sql"; "data"; "access"; "database"; "domain"; "god";
      "backup"; "technical"; "mary"; "katie"; "kate"; "george"; "eric";
      "none"; "guest"; "chris"; "ian"; "neil"; "lee"; "brian"; "susan";
      "sue"; "sam"; "luke"; "peter"; "john"; "mike"; "bill"; "fred"; "joe";
      "jen"; "bob"; "wwwadmin"; "oemuser"; "user"; "homeuser"; "home";
      "internet"; "www"; "web"; "root"; "server"; "linux"; "unix";
      "computer"; "adm"; "admin"; "admins"; "administrat"; "administrateur";
      "administrador"; "administrator"

– El siguiente listado de contraseñas:
   • "winpass"; "blank"; "nokia"; "orainstall"; "sqlpassoainstall";
      "db1234"; "db2"; "db1"; "databasepassword"; "databasepass";
      "dbpassword"; "dbpass"; "domainpassword"; "domainpass"; "hello";
      "hell"; "love"; "money"; "slut"; "bitch"; "fuck"; "exchange";
      "loginpass"; "login"; "qwe"; "zxc"; "asd"; "qaz"; "win2000"; "winnt";
      "winxp"; "win2k"; "win98"; "windows"; "oeminstall"; "oem";
      "accounting"; "accounts"; "letmein"; "sex"; "outlook"; "mail";
      "qwerty"; "temp123"; "temp"; "null"; "default"; "changeme"; "demo";
      "test"; "2005"; "2004"; "2001"; "secret"; "payday"; "deadline";
      "work"; "1234567890"; "123456789"; "12345678"; "1234567"; "123456";
      "12345"; "1234"; "123"; "007"; "pwd"; "pass"; "pass1234"; "dba";
      "passwd"; "password"; "password1"; "abc"



Exploit:
Emplea la siguiente brecha de seguridad:
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


Creación de direcciones IP:
Crea direcciones IP aleatorias y guarda los primeros dos octetos de su propia dirección. Luego intenta establecer una conexión con las direcciones generadas.


Proceso de infección:
Crea un script TFTP o FTP en el equipo afectado para descargar el programa viral en un sistema remoto.

 IRC  Servidor: **********.149.54
Puerto: 5111
Canal: #sluts
Apodo: %serie de caracteres aleatorios de ocho dígitos%



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Usuario actual
    • Espacio libre en el disco
    • Memoria disponible
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de la red
    • ID de la plataforma
    • Informaciones acerca de los procesos del sistema
    • Tamaño de la memoria
    • Nombre de usuario


– Además puede efectuar las siguientes operaciones:
    • Descargar fichero
    • Ejecutar fichero
    • Ejecutar ataque DDoS
    • Cargar fichero en Internet

 Robo de informaciones Intenta robar las siguientes informaciones:

– Las contraseñas de los siguientes programas:
   • MSN Messenger
   • Outlook Express
   • World Of Warcraft
   • Unreal3
   • Steam
   • Conquer Online

– Se inicia una rutina de creación de ficheros log después de teclear los siguientes textos:
   • "irc operator"; "paypal"; "paypal.com"; "cd key"; "cd-key"; "cdkey";
      "passwort"; "auth "; "sxt "; "login "; "pw="; "pass="; "login=";
      "password="; "username="; "passwd="; "auth"; "identify"; "oper";
      "MailPass"; "pass"; "unknown"; "user"

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • 25b30ddc0bd83e53a3935a2b5608f03d44f7


Serie de caracteres:
Además, incluye las siguientes series de caracteres:
   • "rxbot_paradise"
   • "rxbot was here"

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • AS Protect 1.2

Descripción insertada por Catalin Jora el martes 6 de septiembre de 2005
Descripción actualizada por Catalin Jora el jueves 8 de septiembre de 2005

Volver . . . .