Nombre:Worm/IRCBot.NG
Descubierto:23/01/2006
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:61.952 Bytes
Suma de control MD5:1dca55b49c62164fee54686861d2bda4
Versión del VDF:6.33.00.150

 General Método de propagación:
   • Red local


Alias:
   •  Kaspersky: Backdoor.Win32.IRCBot.ng
   •  TrendMicro: WORM_IRCBOT.DR
   •  Bitdefender: Backdoor.IRCBot.GB


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero dañino
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\auditchk.exe




Intenta descargar un fichero:

– La dirección es la siguiente:
   • mildred.debelizombi.com/**********
El fichero está guardado en el disco duro en: %TEMPDIR%\dl%serie de caracteres aleatorios de ocho dígitos%.exe Además, este fichero es ejecutado después de haber sido completamente descargado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dldr.Small.cgc.1

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Printer"="%SYSDIR%\auditchk.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Printer"="%SYSDIR%\auditchk.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Printer"="%SYSDIR%\auditchk.exe"



Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Ole]
   Valor anterior:
   • "EnableDCOM"=%configuración definida por el usuario%
   Nuevo valor:
   • "EnableDCOM"="N"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Valor anterior:
   • "restrictanonymous"= %configuración definida por el usuario%
   Nuevo valor:
   • "restrictanonymous"=dword:00000001

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Exploit:
Emplea las siguientes brechas de seguridad:
– MS01-059 (Unchecked Buffer in Universal Plug and Play)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS04-007 (ASN.1 Vulnerability)


Proceso de infección:
Crea un script TFTP en el sistema afectado, para descargar el programa viral en la ubicación remota.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: irc.debeli**********
Puerto: 8080
Canal: #!bla!
Apodo: [XP]|%serie de caracteres aleatorios de ocho dígitos%
Contraseña: tn10a4



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de los procesos del sistema


– Además puede efectuar las siguientes operaciones:
    • conectarse al servidor IRC
    • Iniciar ataques DDoS por desbordamiento de ICMP
    • Desactivar DCOM
    • desconectarse del servidor IRC
    • Descargar fichero
    • Activar DCOM
    • Ejecutar fichero
    • Ingresar a un canal IRC
    • Terminar proceso
    • Salir del canal IRC
    • Realizar un análisis de la red
    • Iniciar la rutina de propagación

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • rxRizzo_v1.1b

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • Morphine

Descripción insertada por Daniel Constantin el lunes 6 de febrero de 2006
Descripción actualizada por Daniel Constantin el jueves 9 de febrero de 2006

Volver . . . .