Nombre:Worm/Rbot.95744.12
Descubierto:09/11/2005
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:95.744 Bytes
Suma de control MD5:b8e07b509594509af0d671c79176ff9c
Versión del VDF:6.32.00.123

 General Método de propagación:
   • Red local


Alias:
   •  Symantec: W32.Spybot.Worm
   •  Sophos: W32/Rbot-AWZ
   •  Bitdefender: Backdoor.RBot.0EA93F88


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\winzbp.exe

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "WinZap Check" = "winzbp.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "WinZap Check" = "winzbp.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "WinZap Check" = "winzbp.exe"

 Infección en la red Emplea las siguientes brechas de seguridad:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: irc.thev**********.biz
Puerto: 14478
Canal: #.lala.#
Apodo: USA|%serie de caracteres aleatorios de seis dígitos%
Contraseña: lala



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Contraseñas guardadas
    • Captura de imagen de la webcam
    • Usuario actual
    • Informaciones acerca de la red
    • Informaciones acerca de los procesos del sistema
    • Nombre de usuario
    • Actividad local de los usuarios
    • Informaciones acerca del sistema operativo Windows
    • Iniciar ataques DDoS por desbordamiento de ICMP
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Iniciar ataques DDoS por desbordamiento de UDP
    • Desactivar la opción de compartir recursos en la red
    • Descargar fichero
    • Editar el registro del sistema
    • Activar la opción para compartir recursos en la red
    • Ejecutar fichero
    • Ingresar a un canal IRC
    • Terminar proceso
    • Ejecutar ataque DDoS
    • Realizar un análisis de la red
    • Redirigir puertos
    • Registrar un servicio
    • Reiniciar sistema
    • Enviar mensajes de correo
    • Iniciar la rutina de propagación
    • Terminar proceso
    • Se actualiza solo
    • Cargar fichero en Internet
    • Visitar un sitio web

 Finalización de los procesos Listado de los procesos finalizados:
   • bbeagle.exe; d3dupdate.exe; i11r54n4.exe"; irun4.exe; MSBLAST.exe;
      msblast.exe; msconfig.exe; mscvb32.exe; navapw32.exe; navw32.exe;
      netstat.exe; PandaAVEngine.exe; Penis32.exe; rate.exe; regedit.exe;
      ssate.exe; sysinfo.exe; SysMonXP.exe; teekids.exe;
      wincfg32.exetaskmon.exe; winsys.exe; winupd.exe; zapro.exe;
      zonealarm.exe


 Robo de informaciones Intenta robar las siguientes informaciones:

– Las siguientes claves de CD:
   • Battlefield 1942; Battlefield 1942 (Road To Rome); Battlefield 1942
      (Secret Weapons of WWII); Battlefield Vietnam; Black and White;
      Command and Conquer: Generals; Command and Conquer: Generals (Zero
      Hour); Command and Conquer: Red Alert; Command and Conquer: Red Alert
      2; Command and Conquer: Tiberian Sun; Counter-Strike (Retail); FIFA
      2002; FIFA 2003; Half-Life; Hidden & Dangerous 2; IGI 2: Covert
      Strike; Industry Giant 2; James Bond 007: Nightfire; Medal of Honor:
      Allied Assault; Medal of Honor: Allied Assault: Breakthrough; Medal of
      Honor: Allied Assault: Spearhead; Nascar Racing 2002; Nascar Racing
      2003; Need For Speed Hot Pursuit 2; Need For Speed: Underground;
      Neverwinter Nights; Neverwinter Nights (Hordes of the Underdark);
      Neverwinter Nights (Shadows of Undrentide); NHL 2002; NHL 2003;
      Rainbow Six III RavenShield; Shogun: Total War: Warlord Edition;
      Soldier of Fortune II - Double Helix; Soldiers Of Anarchy; The
      Gladiators; Unreal Tournament 2003

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea los siguientes programas de compresión de ejecutables:
   • PolyCript
   • ASPack

Descripción insertada por Iulian Popa el jueves 10 de noviembre de 2005
Descripción actualizada por Andrei Ivanes el jueves 17 de noviembre de 2005

Volver . . . .