Nombre:Worm/Rbot.pac.8
Descubierto:21/09/2005
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:138.240 Bytes
Suma de control MD5:10e18e783f3c5e84ee0375e783ecf77b
Versión del VDF:6.32.0.17

 General Métodos de propagación:
   • Red local
   • Unidades de red mapeadas


Alias:
   •  Symantec: W32.Spybot.Worm
   •  Mcafee: W32/Sdbot.worm.gen.i
   •  Kaspersky: Backdoor.Win32.Rbot.pac
   •  Bitdefender: Backdoor.Rbot.PAC


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\updates.pif

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "System Updates Service" = "updates.pif"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "System Updates Service" = "updates.pif"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "System Updates Service" = "updates.pif"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "System Updates Service" = "updates.pif"



Añade las siguientes claves al registro:

– [HKLM\Software\Microsoft\OLE]
   • "System Updates Service" = "updates.pif"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   • "System Updates Service" = "updates.pif"

– [HKCU\Software\Microsoft\OLE]
   • "System Updates Service" = "updates.pif"

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • "System Updates Service" = "updates.pif"

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • C:\
   • ADMIN$
   • IPC$


Exploit:
Emplea las siguientes brechas de seguridad:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


Creación de direcciones IP:
Crea direcciones IP aleatorias y guarda los primeros dos octetos de su propia dirección. Luego intenta establecer una conexión con las direcciones generadas.


Proceso de infección:
Crea un script TFTP o FTP en el equipo afectado para descargar el programa viral en un sistema remoto.

 IRC  Servidor: **********omfgwtfbbq.biz
Puerto: 4654
Contraseña del servidor: jew1sh
Canal: #.wtf5
Apodo: %serie de caracteres aleatorios%
Contraseña: stfubitch

Servidor: **********omfgwtfbbq.biz
Puerto: 65529
Contraseña del servidor: jew1sh
Canal: #.wtf5
Apodo: %serie de caracteres aleatorios%
Contraseña: stfubitch

Servidor: **********urgentupdate.net
Puerto: 1427
Contraseña del servidor: jew1sh
Canal: #.wtf5
Apodo: %serie de caracteres aleatorios%
Contraseña: stfubitch

Servidor: **********urgentupdate.net
Puerto: 65528
Contraseña del servidor: jew1sh
Canal: #.wtf5
Apodo: %serie de caracteres aleatorios%
Contraseña: stfubitch



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Usuario actual
    • Informaciones acerca de los controladores de dispositivos
    • Espacio libre en el disco
    • Memoria disponible
    • Informaciones acerca de la red
    • ID de la plataforma
    • Tamaño de la memoria
    • Nombre de usuario


– Además puede efectuar las siguientes operaciones:
    • conectarse al servidor IRC
    • Iniciar ataques DDoS por desbordamiento de ICMP
    • Desactivar DCOM
    • Desactivar la opción de compartir recursos en la red
    • Descargar fichero
    • Activar DCOM
    • Activar la opción para compartir recursos en la red
    • Ejecutar fichero
    • Ingresar a un canal IRC
    • Terminar proceso
    • Salir del canal IRC
    • Abrir remote shell
    • Realizar un análisis de la red
    • Redirigir puertos
    • Registrar un servicio
    • Reiniciar sistema
    • Terminar proceso viral
    • Terminar proceso
    • Visitar un sitio web

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Iulian Popa el miércoles 21 de septiembre de 2005
Descripción actualizada por Iulian Popa el miércoles 28 de septiembre de 2005

Volver . . . .