¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Rbot.70124
Descubierto:03/01/2006
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio
Potencial daino:Medio
Fichero esttico:S
Tamao:70.124 Bytes
Suma de control MD5:5d60c68d65f9603cc58d8598fb7c188d
Versin del VDF:6.33.00.92

 General Mtodo de propagacin:
   • Red local


Alias:
   •  Symantec: W32.Spybot.Worm
   •  Kaspersky: Backdoor.Win32.Rbot.aeu
   •  TrendMicro: WORM_RBOT.DLL
   •  F-Secure: Backdoor.Win32.Rbot.aeu
   •  Sophos: W32/Rbot-Fam
   •  Panda: W32/Sdbot.GDE.worm
   •  VirusBuster: Worm.RBot.EFW
   •  Bitdefender: Backdoor.RBot.14D26921


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %SYSDIR%\svccms.exe



Elimina la copia inicial del virus.

 Registro Aade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "msconfig41"="svccms.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "msconfig41"="svccms.exe"



Modifica las siguientes claves del registro:

HKLM\SOFTWARE\Microsoft\Ole
   Valor anterior:
   • "EnableDCOM"=%configuracin definida por el usuario%
   Nuevo valor:
   • "EnableDCOM"="N"

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Valor anterior:
   • "restrictanonymous"=%configuracin definida por el usuario%
   • "restrictanonymoussam"=%configuracin definida por el usuario%
   Nuevo valor:
   • "restrictanonymous"=dword:00000001
   • "restrictanonymoussam"=dword:00000001

 Infeccin en la red Para asegurar su propagacin, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuacin.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • ADMIN$
   • IPC$
   • C$


Emplea la siguiente informacin de inicio de sesin para obtener el acceso al sistema remoto:

Contraseas y nombres de usuarios almacenados.

Un listado de nombres de usuario y contraseas:
   • root; computer; owner; student; teacher; wwwadmin; guest; default;
      database; dba; oracle; db2; administrator; administrador;
      administrateur; administrat; admins; admin; adm; password1; password;
      passwd; pass1234; pass; pwd; 007; 123; 1234; 12345; 123456; 1234567;
      12345678; 123456789; 1234567890; 2000; 2001; 2002; 2003; 2004; test;
      guest; none; demo; unix; linux; changeme; default; system; server;
      root; null; qwerty; mail; outlook; web; www; internet; accounts;
      accounting; home; homeuser; user; oem; oemuser; oeminstall; windows;
      win98; win2k; winxp; winnt; win2000; qaz; asd; zxc; qwe; bob; jen;
      joe; fred; bill; mike; john; peter; luke; sam; sue; susan; peter;
      brian; lee; neil; ian; chris; eric; george; kate; bob; katie; mary;
      login; loginpass; technical; backup; exchange; fuck; bitch; slut; sex;
      god; hell; hello; domain; domainpass; domainpassword; database;
      access; dbpass; dbpassword; databasepass; data; databasepassword; db1;
      db2; db1234; sql; sqlpassoainstall; orainstall; oracle; ibm; cisco;
      dell; compaq; siemens; nokia; control; office; blank; winpass; main;
      lan; internet; intranet; student; teacher; staff



Exploit:
Emplea las siguientes brechas de seguridad:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)


Creacin de direcciones IP:
Crea direcciones IP aleatorias y guarda los primeros dos octetos de su propia direccin. Luego intenta establecer una conexin con las direcciones generadas.


Proceso de infeccin:
Crea un script TFTP o FTP en el equipo afectado para descargar el programa viral en un sistema remoto.


Ejecucin remota:
Intenta programar una ejecucin remota del programa viral, en la mquina recin infectada. Por eso emplea la funcin NetScheduleJobAdd.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: newircd.3071et**********
Puerto: 8010
Canal: #final
Apodo: USA|%serie de caracteres aleatorios de seis dgitos%
Contrasea: he.he

Servidor: newircd.3071et**********
Puerto: 8010
Canal: #finaldownload
Apodo: USA|%serie de caracteres aleatorios de seis dgitos%
Contrasea: he.he



 Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Usuario actual
     Informaciones acerca de los controladores de dispositivos
    • Espacio libre en el disco
    • Memoria disponible
    • Informaciones acerca de la red
    • Informaciones acerca de los procesos del sistema
    • Tamao de la memoria
    • Nombre de usuario
    • Informaciones acerca del sistema operativo Windows


 Adems puede efectuar las siguientes operaciones:
     Iniciar ataques DDoS por desbordamiento de ICMP
     Iniciar ataques DDoS por desbordamiento de SYN
     Iniciar ataques DDoS por desbordamiento de UDP
    • Desactivar DCOM
    • Desactivar la opcin de compartir recursos en la red
    • Descargar fichero
    • Activar DCOM
    • Activar la opcin para compartir recursos en la red
    • Ejecutar fichero
    • Ingresar a un canal IRC
    • Terminar proceso
    • Salir del canal IRC
    • Abrir remote shell
    • Ejecutar ataque DDoS
     Realizar un anlisis de la red
     Registrar un servicio
    • Reiniciar sistema
    • Enviar mensajes de correo
     Iniciar la rutina de propagacin
    • Terminar proceso
     Se actualiza solo
    • Cargar fichero en Internet

 Backdoor (Puerta trasera) Abre el siguiente puerto:

%SYSDIR%\msgame32.exe en el puerto UDP 69 para funcionar como servidor TFTP.

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • shitman11211

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Irina Boldea el viernes 7 de abril de 2006
Descripción actualizada por Irina Boldea el viernes 7 de abril de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.