Nombre:Worm/Aimbot.158720
Descubierto:08/09/2005
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:158.720 Bytes
Suma de control MD5:82B7C1BCD80C7B8D07DF6B1D005EBEB1
Versión del VDF:6.31.01.134

 General Método de propagación:
   • Red local


Alias:
   •  Mcafee: W32/Spybot.worm.gen.o
   •  Kaspersky: Trojan.Win32.Pakes
   •  TrendMicro: WORM_AGOBOT.AVX
   •  Bitdefender: Trojan.Pakes.Y


Plataformas / Sistemas operativos:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Emplea vulnerabilidades de software
   • Roba informaciones

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\Internet.exe



Elimina la copia inicial del virus.

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Micrcoft Updat"="Internet.exe"



Añade la siguiente clave al registro:

– [HKCU\Software\Microsoft\OLE]
   • "Micrcoft Updat"="Internet.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Micrcoft Updat"="Internet.exe"

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • IPC$
   • ADMIN$
   • C$


Exploit:
Emplea las siguientes brechas de seguridad:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)


Creación de direcciones IP:
Crea direcciones IP aleatorias y guarda el primer octeto de su propia dirección. Luego intenta establecer una conexión con las direcciones generadas.


Proceso de infección:
Crea un script TFTP en el sistema afectado, para descargar el programa viral en la ubicación remota.


Ralentización:
– Crea el siguiente número de hilos de ejecución (instancias) infectados: 300
– Según su ancho de banda, podrá notar un leve descenso de velocidad en la red. Considerando que la actividad de este programa viral en la red es de nivel bajo, es probable que ni siquiera la note.
– También se podría notar una leve ralentización debida a la creación de varios hilos de ejecución en la red.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: fuckrx.**********end.net
Puerto: 2001
Canal: #MoTjWeL# moting
Apodo: [%serie de caracteres aleatorios%]|%serie de caracteres aleatorios de cinco dígitos%



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Captura de pantalla
    • Captura de imagen de la webcam
    • Velocidad del procesador
    • Usuario actual
    • Espacio libre en el disco
    • Memoria disponible
    • Tamaño de la memoria
    • Carpeta de sistema
    • Nombre de usuario
    • Carpeta Windows


– Además puede efectuar las siguientes operaciones:
    • conectarse al servidor IRC
    • Iniciar ataques DDoS por desbordamiento de ICMP
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Iniciar ataques DDoS por desbordamiento de TCP
    • Iniciar ataques DDoS por desbordamiento de UDP
    • Ingresar a un canal IRC
    • Salir del canal IRC
    • Realizar un análisis de la red

 Backdoor (Puerta trasera) Abre los siguientes puertos:

%SYSDIR%\Internet.exe en un puerto TCP aleatorio para funcionar como servidor FTP.
%SYSDIR%\Internet.exe en el puerto UDP 69 para funcionar como servidor TFTP.

 Robo de informaciones Intenta robar las siguientes informaciones:
– Windows Product ID

– Las siguientes claves de CD:
   • Neverwinter Nights (Hordes of the Underdark); Neverwinter Nights
      (Shadows of Undrentide); Neverwinter Nights"; Soldier of Fortune II -
      Double Helix; Hidden & Dangerous 2; Chrome; NOX; Command and Conquer:
      Red Alert 2; Command and Conquer: Tiberian Sun; Rainbow Six III
      RavenShield; Nascar Racing 2003; Nascar Racing 2002; NHL 2003; NHL
      2002; FIFA 2003; FIFA 2002; Shogun: Total War: Warlord Edition; Need
      For Speed: Underground; Need For Speed Hot Pursuit 2; Medal of Honor:
      Allied Assault: Spearhead; Medal of Honor: Allied Assault:
      Breakthrough; Medal of Honor: Allied Assault; Command and Conquer:
      Generals; James Bond 007: Nightfire; Command and Conquer: Generals
      (Zero Hour); Black and White; Battlefield Vietnam; Battlefield 1942
      (Secret Weapons of WWII); Battlefield 1942 (Road To Rome); Battlefield
      1942; Freedom Force; IGI 2: Covert Strike; Unreal Tournament 2004;
      Unreal Tournament 2003; Soldiers Of Anarchy; Legends of Might and
      Magic; Industry Giant 2; Half-Life; Gunman Chronicles; The Gladiators;
      Counter-Strike (Retail)

– Monitoriza la red mediante un sniffer y busca las siguientes series de caracteres:
   • : auth; : login; :!auth; :!hashin; :!login; :!secure; :!syn; :$auth;
      :$hashin; :$login; :$syn; :%auth; :%hashin; :%login; :%syn; :&auth;
      :&login; : auth; : login; :,auth; :,login; :.auth; :.hashin; :.login;
      :.secure; :.syn; :/auth; :/login; :?auth; :?login; :@auth; :@login;
      :\auth; :\login; :~auth; :~login; :+auth; :+login; :=auth; :=login;
      :'auth; :-auth; :'login; :-login; paypal; PAYPAL; paypal.com;
      PAYPAL.COM

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • [MoTjWeL]

Descripción insertada por Dragos Tomescu el jueves 8 de septiembre de 2005
Descripción actualizada por Oliver Auerbach el jueves 13 de abril de 2006

Volver . . . .