¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/IRCBot.9609
Nmero de identificacin CME:482
Descubierto:13/08/2006
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio-alto
Potencial daino:Medio
Fichero esttico:S
Tamao:9.609 Bytes
Suma de control MD5:9928A1E6601CF00D0B7826D13FB556F0
Versin del VDF:6.35.01.85 - domingo 13 de agosto de 2006
Versin del IVDF:6.35.01.85 - domingo 13 de agosto de 2006

 General Mtodos de propagacin:
   • Red local
    Messenger


Alias:
   •  Symantec: Backdoor.IRC.Bot
   •  Mcafee: IRC-Mocbot!MS06-040
   •  Kaspersky: Backdoor.Win32.IRCBot.st
   •  TrendMicro: WORM_IRCBOT.JK
   •  F-Secure: Backdoor.Win32.IRCBot.st


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %SYSDIR%\wgareg.exe



Elimina la copia inicial del virus.

 Registro Aade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

[HKLM\SYSTEM\CurrentControlSet\Services\wgareg]
   • Type = 110
   • Start = 2
   • ErrorControl = 0
   • ImagePath = %SYSDIR%\wgareg.exe
   • DisplayName = Windows Genuine Advantage Registration Service
   • ObjectName = LocalSystem
   • FailureActions = %valores hex%
   • Description = Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.

[HKLM\SYSTEM\CurrentControlSet\Services\wgareg\Security]
   • Security = %valores hex%

[HKLM\SYSTEM\CurrentControlSet\Services\wgareg\Enum]
   • 0 = Root\LEGACY_WGAREG\0000
   • Count = 1
   • NextInstance = 1



Modifica las siguientes claves del registro:

[HKLM\SOFTWARE\Microsoft\Ole]
   Valor anterior:
   • EnableDCOM = %configuracin definida por el usuario%
   Nuevo valor:
   • EnableDCOM = n

[HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Valor anterior:
   • restrictanonymous = %configuracin definida por el usuario%
   • restrictanonymoussam = %configuracin definida por el usuario%
   Nuevo valor:
   • restrictanonymous = 1
   • restrictanonymoussam = 1

[HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
   Nuevo valor:
   • autoshareserver = 0
   • autosharewks = 0

[HKLM\SOFTWARE\Microsoft\security center]
   Valor anterior:
   • antivirusdisablenotify = %configuracin definida por el usuario%
   • antivirusoverride = %configuracin definida por el usuario%
   • firewalldisablenotify = %configuracin definida por el usuario%
   • firewalldisableoverride = %configuracin definida por el usuario%
   Nuevo valor:
   • antivirusdisablenotify = 1
   • antivirusoverride = 1
   • firewalldisablenotify = 1
   • firewalldisableoverride = 1

Desactiva el cortafuego de Windows:
[HKLM\SOFTWARE\Policies\Microsoft\windowsfirewall\domainprofile]
   Valor anterior:
   • enablefirewall = %configuracin definida por el usuario%
   Nuevo valor:
   • enablefirewall = 0

[HKLM\SOFTWARE\Policies\Microsoft\windowsfirewall\standardprofile]
   Valor anterior:
   • enablefirewall = %configuracin definida por el usuario%
   Nuevo valor:
   • enablefirewall = 0

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valor anterior:
   • Start = %configuracin definida por el usuario%
   Nuevo valor:
   • Start = 4

 Messenger Se propaga por Messenger. Sus caractersticas estn descritas a continuacin:

 AIM Messenger

 Infeccin en la red Para asegurar su propagacin, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuacin.


Exploit:
Emplea la siguiente brecha de seguridad:
 MS06-040 (Vulnerability in Server Service)

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: bniu.house**********
Puerto: 18067
Canal: #n1
Apodo: n1-%serie de caracteres aleatorios%
Contrasea: nert4mp1

Servidor: ypgw.wall**********
Puerto: 18067
Canal: #n1
Apodo: n1-%serie de caracteres aleatorios%
Contrasea: nert4mp1


 Adems puede efectuar las siguientes operaciones:
     Iniciar ataques DDoS por desbordamiento de SYN
     Iniciar ataques DDoS por desbordamiento de UDP
    • Descargar fichero
    • Ejecutar fichero
     Iniciar la rutina de propagacin

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • wgareg

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Philipp Wolf el domingo 13 de agosto de 2006
Descripción actualizada por Andrei Gherman el lunes 14 de agosto de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.