¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Agobot.54352
Descubierto:25/11/2005
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio
Potencial daino:Medio
Fichero esttico:S
Tamao:54.352 Bytes
Suma de control MD5:bec730468a4f3353231a393f838e7a50
Versin del VDF:6.32.00.224

 General Mtodo de propagacin:
   • Red local


Alias:
   •  Symantec: W32.Spybot.Worm
   •  Kaspersky: Backdoor.Win32.Agobot.afk
   •  TrendMicro: WORM_AGOBOT.BCO
   •  F-Secure: Backdoor.Win32.Agobot.afk
   •  Sophos: W32/Tilebot-BG
   •  Panda: W32/Sdbot.FRU.worm
   •  VirusBuster: Worm.RBot.DCO
   •  Eset: IRC/SdBot
   •  Bitdefender: Backdoor.Agobot.AFK


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %WINDIR%\MSmedia.exe



Crea el siguiente fichero:

%SYSDIR%\rdriv.sys Los anlisis adicionales indicaron que este fichero es tambin viral.

 Registro Aade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

HKLM\SYSTEM\ControlSet001\Services\MicroSoft Media Tools
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\MSmedia.exe"
   • "DisplayName"="MicroSoft Media Tools"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valores hex%
   • "Description"="MicroSoft Media Tools"



Aade la siguiente clave al registro:

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
   • "DoNotAllowXPSP2"=dword:00000001



Modifica las siguientes claves del registro:

HKLM\SOFTWARE\Microsoft\Security Center
   Valor anterior:
   • "AntiVirusDisableNotify"=%configuracin definida por el usuario%
   • "FirewallDisableNotify"=%configuracin definida por el usuario%
   • "UpdatesDisableNotify"=%configuracin definida por el usuario%
   • "AntiVirusOverride"=%configuracin definida por el usuario%
   • "FirewallOverride"=%configuracin definida por el usuario%
   Nuevo valor:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

Desactiva el cortafuego de Windows:
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
   Valor anterior:
   • "EnableFirewall"=%configuracin definida por el usuario%
   Nuevo valor:
   • "EnableFirewall"=dword:00000000

Desactiva el cortafuego de Windows:
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
   Valor anterior:
   • "EnableFirewall"=%configuracin definida por el usuario%
   Nuevo valor:
   • "EnableFirewall"=dword:00000000

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update
   Valor anterior:
   • "AUOptions"=%configuracin definida por el usuario%
   Nuevo valor:
   • "AUOptions"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Valor anterior:
   • "restrictanonymous"=%configuracin definida por el usuario%
   Nuevo valor:
   • "restrictanonymous"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
   Valor anterior:
   • "AutoShareWks"=%configuracin definida por el usuario%
   • "AutoShareServer"=%configuracin definida por el usuario%
   Nuevo valor:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
   Valor anterior:
   • "AutoShareWks"=%configuracin definida por el usuario%
   • "AutoShareServer"=%configuracin definida por el usuario%
   Nuevo valor:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

HKLM\SOFTWARE\Microsoft\Ole
   Valor anterior:
   • "EnableDCOM"=%configuracin definida por el usuario%
   Nuevo valor:
   • "EnableDCOM"="N"

HKLM\SYSTEM\CurrentControlSet\Control
   Valor anterior:
   • "WaitToKillServiceTimeout"=%configuracin definida por el usuario%
   Nuevo valor:
   • "WaitToKillServiceTimeout"="7000"

 Infeccin en la red Para asegurar su propagacin, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuacin.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • Z$
   • Z$
   • Y$
   • X$
   • W$
   • V$
   • U$
   • T$
   • S$
   • R$
   • Q$
   • P$
   • O$
   • N$
   • M$
   • L$
   • K$
   • J$
   • I$
   • H$
   • G$
   • F$
   • E$
   • D$
   • C$
   • IPC$
   • d$\windows\system32
   • C$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32\
   • ADMIN$


Exploit:
Emplea la siguiente brecha de seguridad:
 MS01-059 (Unchecked Buffer in Universal Plug and Play)
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)


Creacin de direcciones IP:
Crea direcciones IP aleatorias y guarda los primeros dos octetos de su propia direccin. Luego intenta establecer una conexin con las direcciones generadas.


Proceso de infeccin:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicacin remota.


Ejecucin remota:
Intenta programar una ejecucin remota del programa viral, en la mquina recin infectada. Por eso emplea la funcin NetScheduleJobAdd.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: blast.p**********
Puerto: 10421
Canal: #H#
Apodo: [USA|XP|P00|%serie de caracteres aleatorios de seis dgitos%]
Contrasea: #H#



 Este programa malicioso puede obtener y enviar las siguientes informaciones:
    • Contraseas guardadas
     Direcciones de correo electrnico recopiladas
    • Velocidad del procesador
     Informaciones acerca de los controladores de dispositivos
    • Espacio libre en el disco
    • Memoria disponible
    • Informaciones acerca de la red
    • ID de la plataforma
    • Informaciones acerca de los procesos del sistema
    • Tamao de la memoria
    • Nombre de usuario


 Adems puede efectuar las siguientes operaciones:
     Iniciar ataques DDoS por desbordamiento de ICMP
     Iniciar ataques DDoS por desbordamiento de SYN
     Iniciar ataques DDoS por desbordamiento de UDP
    • Desactivar la opcin de compartir recursos en la red
    • Descargar fichero
    • Activar la opcin para compartir recursos en la red
    • Ejecutar fichero
    • Terminar proceso
    • Abrir remote shell
     Realizar un anlisis de la red
    • Redirigir puertos
    • Reiniciar sistema
     Iniciar la rutina de propagacin
    • Terminar proceso viral
    • Terminar proceso
     Se actualiza solo
    • Cargar fichero en Internet
     Visitar un sitio web

 Finalizacin de los procesos  Listado de los servicios desactivados:
   • Security Center
   • Telnet
   • Remote Registry
   • Messenger

 Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
   • http://hpcgi1.nifty.com/mute/c/**********
   • http://www.age.ne.jp/x/maxwell/cgi-bin/**********
   • http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check/**********
   • http://cgi14.plala.or.jp/little_w/**********
   • http://yia.s22.xrea.com/**********
   • http://www.kinchan.net/cgi-bin/**********


 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • 0xFFFFFFFF

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Irina Boldea el martes 4 de abril de 2006
Descripción actualizada por Irina Boldea el miércoles 19 de abril de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.