¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/IRCBot.9609
Número de identificación CME:482
Descubierto:13/08/2006
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-alto
Potencial dañino:Medio
Fichero estático:
Tamaño:9.609 Bytes
Suma de control MD5:9928A1E6601CF00D0B7826D13FB556F0
Versión del VDF:6.35.01.85 - domingo, 13 de agosto de 2006
Versión del IVDF:6.35.01.85 - domingo, 13 de agosto de 2006

 General Métodos de propagación:
   • Red local
   • Messenger


Alias:
   •  Symantec: Backdoor.IRC.Bot
   •  Mcafee: IRC-Mocbot!MS06-040
   •  Kaspersky: Backdoor.Win32.IRCBot.st
   •  TrendMicro: WORM_IRCBOT.JK
   •  F-Secure: Backdoor.Win32.IRCBot.st


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\wgareg.exe



Elimina la copia inicial del virus.

 Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\wgareg]
   • Type = 110
   • Start = 2
   • ErrorControl = 0
   • ImagePath = %SYSDIR%\wgareg.exe
   • DisplayName = Windows Genuine Advantage Registration Service
   • ObjectName = LocalSystem
   • FailureActions = %valores hex%
   • Description = Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.

– [HKLM\SYSTEM\CurrentControlSet\Services\wgareg\Security]
   • Security = %valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\wgareg\Enum]
   • 0 = Root\LEGACY_WGAREG\0000
   • Count = 1
   • NextInstance = 1



Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Ole]
   Valor anterior:
   • EnableDCOM = %configuración definida por el usuario%
   Nuevo valor:
   • EnableDCOM = n

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Valor anterior:
   • restrictanonymous = %configuración definida por el usuario%
   • restrictanonymoussam = %configuración definida por el usuario%
   Nuevo valor:
   • restrictanonymous = 1
   • restrictanonymoussam = 1

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
   Nuevo valor:
   • autoshareserver = 0
   • autosharewks = 0

– [HKLM\SOFTWARE\Microsoft\security center]
   Valor anterior:
   • antivirusdisablenotify = %configuración definida por el usuario%
   • antivirusoverride = %configuración definida por el usuario%
   • firewalldisablenotify = %configuración definida por el usuario%
   • firewalldisableoverride = %configuración definida por el usuario%
   Nuevo valor:
   • antivirusdisablenotify = 1
   • antivirusoverride = 1
   • firewalldisablenotify = 1
   • firewalldisableoverride = 1

Desactiva el cortafuego de Windows:
– [HKLM\SOFTWARE\Policies\Microsoft\windowsfirewall\domainprofile]
   Valor anterior:
   • enablefirewall = %configuración definida por el usuario%
   Nuevo valor:
   • enablefirewall = 0

– [HKLM\SOFTWARE\Policies\Microsoft\windowsfirewall\standardprofile]
   Valor anterior:
   • enablefirewall = %configuración definida por el usuario%
   Nuevo valor:
   • enablefirewall = 0

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valor anterior:
   • Start = %configuración definida por el usuario%
   Nuevo valor:
   • Start = 4

 Messenger Se propaga por Messenger. Sus características están descritas a continuación:

– AIM Messenger

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Exploit:
Emplea la siguiente brecha de seguridad:
– MS06-040 (Vulnerability in Server Service)

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: bniu.house**********
Puerto: 18067
Canal: #n1
Apodo: n1-%serie de caracteres aleatorios%
Contraseña: nert4mp1

Servidor: ypgw.wall**********
Puerto: 18067
Canal: #n1
Apodo: n1-%serie de caracteres aleatorios%
Contraseña: nert4mp1


– Además puede efectuar las siguientes operaciones:
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Iniciar ataques DDoS por desbordamiento de UDP
    • Descargar fichero
    • Ejecutar fichero
    • Iniciar la rutina de propagación

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • wgareg

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Philipp Wolf el domingo, 13 de agosto de 2006
Descripción actualizada por Andrei Gherman el lunes, 14 de agosto de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.