¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/RBot.90102
Descubierto:11/07/2005
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio
Potencial daino:Medio
Fichero esttico:S
Tamao:90.102 Bytes
Suma de control MD5:7fce8d01b482de1628b793c2d2ddeadc
Versin del VDF:6.31.00.184

 General Mtodo de propagacin:
   • Red local


Alias:
   •  Symantec: W32.Spybot.Worm
   •  TrendMicro: WORM_RBOT.BTW
   •  F-Secure: Backdoor.Win32.Rbot.gen
   •  Sophos: W32/Rbot-Fam
   •  Panda: W32/Gaobot.JAP
   •  Grisoft: IRC/BackDoor.SdBot.192.AO
   •  VirusBuster: Worm.RBot.BXJ
   •  Eset: Win32/Rbot
   •  Bitdefender: Backdoor.Rbot.CTF


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %SYSDIR%\msgame32.exe



Elimina la copia inicial del virus.

 Registro Aade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Microsoft Gaming Updater 32"="msgame32.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "Microsoft Gaming Updater 32"="msgame32.exe"



Modifica las siguientes claves del registro:

HKLM\SOFTWARE\Microsoft\Ole
   Valor anterior:
   • "EnableDCOM"=%configuracin definida por el usuario%
   Nuevo valor:
   • "EnableDCOM"="N"

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Valor anterior:
   • "restrictanonymous"=%configuracin definida por el usuario%
   • "restrictanonymoussam"=%configuracin definida por el usuario%
   Nuevo valor:
   • "restrictanonymous"=dword:00000001
   • "restrictanonymoussam"=dword:00000001

 Infeccin en la red Para asegurar su propagacin, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuacin.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • ADMIN$
   • IPC$
   • C$


Emplea la siguiente informacin de inicio de sesin para obtener el acceso al sistema remoto:

Contraseas y nombres de usuarios almacenados.

Un listado de nombres de usuario y contraseas:
   • root; computer; owner; student; teacher; wwwadmin; guest; default;
      database; dba; oracle; db2; administrator; administrador;
      administrateur; administrat; admins; admin; adm; password1; password;
      passwd; pass1234; pass; pwd; 007; 123; 1234; 12345; 123456; 1234567;
      12345678; 123456789; 1234567890; 2000; 2001; 2002; 2003; 2004; test;
      guest; none; demo; unix; linux; changeme; default; system; server;
      root; null; qwerty; mail; outlook; web; www; internet; accounts;
      accounting; home; homeuser; user; oem; oemuser; oeminstall; windows;
      win98; win2k; winxp; winnt; win2000; qaz; asd; zxc; qwe; bob; jen;
      joe; fred; bill; mike; john; peter; luke; sam; sue; susan; peter;
      brian; lee; neil; ian; chris; eric; george; kate; bob; katie; mary;
      login; loginpass; technical; backup; exchange; fuck; bitch; slut; sex;
      god; hell; hello; domain; domainpass; domainpassword; database;
      access; dbpass; dbpassword; databasepass; data; databasepassword; db1;
      db2; db1234; sql; sqlpassoainstall; orainstall; oracle; ibm; cisco;
      dell; compaq; siemens; nokia; control; office; blank; winpass; main;
      lan; internet; intranet; student; teacher; staff



Exploit:
Emplea las siguientes brechas de seguridad:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)


Creacin de direcciones IP:
Crea direcciones IP aleatorias y guarda los primeros dos octetos de su propia direccin. Luego intenta establecer una conexin con las direcciones generadas.


Proceso de infeccin:
Crea un script TFTP en el sistema afectado, para descargar el programa viral en la ubicacin remota.


Ejecucin remota:
Intenta programar una ejecucin remota del programa viral, en la mquina recin infectada. Por eso emplea la funcin NetScheduleJobAdd.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: moo.na**********
Puerto: 9136
Canal: #asn
Apodo: AS-%serie de caracteres aleatorios de seis dgitos%
Contrasea: asshole



 Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Usuario actual
     Informaciones acerca de los controladores de dispositivos
    • Espacio libre en el disco
    • Memoria disponible
    • Informaciones acerca de la red
    • Informaciones acerca de los procesos del sistema
    • Tamao de la memoria
    • Nombre de usuario
    • Informaciones acerca del sistema operativo Windows


 Adems puede efectuar las siguientes operaciones:
     Iniciar ataques DDoS por desbordamiento de ICMP
     Iniciar ataques DDoS por desbordamiento de SYN
     Iniciar ataques DDoS por desbordamiento de UDP
    • Desactivar DCOM
    • Desactivar la opcin de compartir recursos en la red
    • Descargar fichero
    • Activar DCOM
    • Activar la opcin para compartir recursos en la red
    • Ejecutar fichero
    • Ingresar a un canal IRC
    • Terminar proceso
    • Salir del canal IRC
    • Abrir remote shell
    • Ejecutar ataque DDoS
     Realizar un anlisis de la red
    • Reiniciar sistema
    • Enviar mensajes de correo
     Iniciar la rutina de propagacin
    • Terminar proceso
     Se actualiza solo
    • Cargar fichero en Internet

 Backdoor (Puerta trasera) Abre el siguiente puerto:

%SYSDIR%\msgame32.exe en el puerto UDP 69 para funcionar como servidor TFTP.

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • moao

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Irina Boldea el jueves 6 de abril de 2006
Descripción actualizada por Irina Boldea el miércoles 19 de abril de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.