Nombre:Worm/IRCBot.GT
Descubierto:20/09/2005
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:174.080 Bytes
Suma de control MD5:0AC7EE395802E4B3D25D6755E7F2C9D2
Versión del VDF:6.32.0.17

 General Método de propagación:
   • Red local


Alias:
   •  Kaspersky: Backdoor.Win32.IRCBot.gt


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\sys32.pif



Elimina la copia inicial del virus.

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows System Security"="sys32.pif"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Windows System Security"="sys32.pif"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows System Security"="sys32.pif"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "Windows System Security"="sys32.pif"



Añade las siguientes claves al registro:

– [HKLM\SOFTWARE\Microsoft\Ole]
   • "Windows System Security"="sys32.pif"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   • "Windows System Security"="sys32.pif"

– [HKCU\Software\Microsoft\OLE]
   • "Windows System Security"="sys32.pif"

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • "Windows System Security"="sys32.pif"

– [HKCR\.key]
   • @="regfile"

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • D:\
   • C:\
   • ADMIN$
   • IPC$


Exploit:
Emplea las siguientes brechas de seguridad:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


Creación de direcciones IP:
Crea direcciones IP aleatorias y guarda el primer octeto de su propia dirección. Luego intenta establecer una conexión con las direcciones generadas.


Proceso de infección:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicación remota.


Ralentización:
–Crea varias instancias de infección (por hilos de ejecución).
– Según su ancho de banda, podrá notar un leve descenso de velocidad en la red. Considerando que la actividad de este programa viral en la red es de nivel bajo, es probable que ni siquiera la note.
– Debido a la creación de varios hilos de ejecución en la red, el ordenador infectado se convierte en una máquina lenta y casi inutilisable.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: win32.**********.updates32.biz
Puerto: 65528
Contraseña del servidor: gringle
Canal: #wtfz#
Apodo: %serie de caracteres aleatorios%
Contraseña: shabby123

Servidor: win32.**********.security32.biz
Puerto: 4654
Contraseña del servidor: gringle
Canal: #wtfz#
Apodo: %serie de caracteres aleatorios%
Contraseña: shabby123

Servidor: win32.**********.security32.biz
Puerto: 4564
Contraseña del servidor: gringle
Canal: #wtfz#
Apodo: %serie de caracteres aleatorios%
Contraseña: shabby123

Servidor: win32.**********.updates32.biz
Puerto: 65529
Contraseña del servidor: gringle
Canal: #wtfz#
Apodo: %serie de caracteres aleatorios%
Contraseña: shabby123



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Usuario actual
    • Espacio libre en el disco
    • Memoria disponible
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de la red
    • Informaciones acerca de los procesos del sistema
    • Tamaño de la memoria
    • Carpeta de sistema
    • Nombre de usuario
    • Carpeta Windows


– Además puede efectuar las siguientes operaciones:
    • conectarse al servidor IRC
    • Iniciar ataques DDoS por desbordamiento de ICMP
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Iniciar ataques DDoS por desbordamiento de TCP
    • Iniciar ataques DDoS por desbordamiento de UDP
    • Desactivar DCOM
    • Desactivar la opción de compartir recursos en la red
    • Descargar fichero
    • Editar el registro del sistema
    • Activar DCOM
    • Activar la opción para compartir recursos en la red
    • Ejecutar fichero
    • Ingresar a un canal IRC
    • Terminar proceso
    • Salir del canal IRC
    • Abrir remote shell
    • Ejecutar ataque DDoS
    • Realizar un análisis de la red
    • Iniciar la captura de pulsaciones de teclado
    • Terminar proceso
    • Se actualiza solo
    • Cargar fichero en Internet

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • sizxlss

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • ASProtect 1.2x

Descripción insertada por Andrei Gherman el martes 20 de septiembre de 2005
Descripción actualizada por Andrei Gherman el jueves 22 de septiembre de 2005

Volver . . . .