Nombre:Worm/Rbot.173568.9
Descubierto:27/09/2005
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:173.568 Bytes
Suma de control MD5:d89437c84655fa333fdf5b5b37cb29cc
Versión del VDF:6.32.0.45

 General Método de propagación:
   • Red local


Alias:
   •  Mcafee: W32/Sdbot.worm.gen.w
   •  TrendMicro: WORM_RBOT.CIZ
   •  F-Secure: W32/Banker.EVW
   •  VirusBuster: Worm.RBot.CNF
   •  Bitdefender: Backdoor.RBot.BAR


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero dañino
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\xpjava.exe



Crea el siguiente fichero:

%SYSDIR%\msdirectx.sys Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Spy.Agent.dg.2.B

 Registro Añade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\msdirectx]
   • "Type"=dword:00000001
     "Start"=dword:00000003
     "ErrorControl"=dword:00000001
     "ImagePath"=\??\%SYSDIR%\msdirectx.sys
     "DisplayName"="msdirectx"

– [HKLM\SYSTEM\CurrentControlSet\Services\msdirectx\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
      00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
      00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
      05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
      20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
      00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
      00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

– [HKLM\SYSTEM\CurrentControlSet\Services\msdirectx\Enum]
   • "0"="Root\\LEGACY_MSDIRECTX\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001



Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Userinit"=%configuración definida por el usuario%
   Nuevo valor:
   • "Userinit"="userinit.exe,xpjava.exe"

– [HKLM\SOFTWARE\Microsoft\Ole]
   Valor anterior:
   • "EnableDCOM"=%configuración definida por el usuario%
   Nuevo valor:
   • "EnableDCOM"="N"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Valor anterior:
   • "restrictanonymous"=%configuración definida por el usuario%
     "restrictanonymoussam"=%configuración definida por el usuario%
   Nuevo valor:
   • "restrictanonymous"=dword:00000001
     "restrictanonymoussam"=dword:00000001

 Infección en la red Emplea la siguiente información de inicio de sesión para obtener el acceso al sistema remoto:

– El siguiente listado de nombres de usuario:
   • oracle; database; default; guest; wwwadmin; teacher; student; owner;
      computer; staff; admin; admins; administrat; administrateur;
      administrador; administrator

– El siguiente listado de contraseñas:
   • qwerty; server; system; changeme; linux; 1234567890; 123456789;
      12345678; 1234567; 123456; 12345; pass1234; passwd; password;
      password1



Exploit:
Emplea las siguientes brechas de seguridad:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)


Proceso de infección:
Crea un script TFTP o FTP en el equipo afectado para descargar el programa viral en un sistema remoto.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: g0d.**********.n0t.ex1st.net
Puerto: 8249
Contraseña del servidor: st4y4w4y
Canal: #.kimochi3
Apodo: Roo-San|%serie de caracteres aleatorios de siete dígitos%
Contraseña: kimochi



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Usuario actual
    • Informaciones acerca de los controladores de dispositivos
    • Espacio libre en el disco
    • Memoria disponible
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de la red
    • ID de la plataforma
    • Informaciones acerca de los procesos del sistema
    • Tamaño de la memoria
    • Carpeta de sistema
    • Nombre de usuario
    • Carpeta Windows


– Además puede efectuar las siguientes operaciones:
    • conectarse al servidor IRC
    • Iniciar ataques DDoS por desbordamiento de ICMP
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Iniciar ataques DDoS por desbordamiento de TCP
    • Iniciar ataques DDoS por desbordamiento de UDP
    • Desactivar DCOM
    • Desactivar la opción de compartir recursos en la red
    • desconectarse del servidor IRC
    • Descargar fichero
    • Activar DCOM
    • Activar la opción para compartir recursos en la red
    • Ejecutar fichero
    • Ingresar a un canal IRC
    • Terminar proceso
    • Salir del canal IRC
    • Abrir remote shell
    • Ejecutar ataque DDoS
    • Realizar un análisis de la red
    • Registrar un servicio
    • Reiniciar sistema
    • Enviar mensajes de correo
    • Apagar sistema
    • Iniciar la rutina de propagación
    • Terminar proceso viral
    • Terminar proceso
    • Se actualiza solo
    • Cargar fichero en Internet
    • Visitar un sitio web

 Tecnología Rootkit Es una tecnología específica para los virus. El programa malicioso oculta su presencia ante las herramientas del sistema, ante las aplicaciones de seguridad y, finalmente, ante el usuario.


Oculta las siguientes:
– Sus propios procesos

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • PE-Crypt.AntiDeb

Descripción insertada por Razvan Olteanu el lunes 3 de octubre de 2005
Descripción actualizada por Razvan Olteanu el jueves 6 de octubre de 2005

Volver . . . .