Nombre:Worm/IRCBot.9374
Número de identificación CME:762
Descubierto:13/08/2006
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-alto
Potencial dañino:Medio
Fichero estático:
Tamaño:9.374 Bytes
Suma de control MD5:2BF2A4F0BDAC42F4D6F8A062A7206797
Versión del VDF:6.35.01.85 - domingo 13 de agosto de 2006
Versión del IVDF:6.35.01.85 - domingo 13 de agosto de 2006

 General Método de propagación:
   • Red local
   • Messenger


Alias:
   •  Symantec: Backdoor.IRC.Bot
   •  Mcafee: IRC-Mocbot!MS06-040
   •  Kaspersky: Backdoor.Win32.IRCBot.st
   •  TrendMicro: WORM_IRCBOT.JK
   •  F-Secure: Backdoor.Win32.IRCBot.st
   •  Bitdefender: Backdoor.IRCBot.ST


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\wgavm.exe



Elimina la copia inicial del virus.

 Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\wgavm]
   • Type = 110
   • Start = 2
   • ErrorControl = 0
   • ImagePath = %SYSDIR%\wgavm.exe
   • DisplayName = Windows Genuine Advantage Validation Monitor
   • ObjectName = LocalSystem
   • FailureActions = %valores hex%
   • Description = Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability.

– [HKLM\SYSTEM\CurrentControlSet\Services\wgavm\Security]
   • Security = %valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\wgavm\Enum]
   • 0 = Root\LEGACY_WGAVM\0000
   • Count = 1
   • NextInstance = 1



Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Ole]
   Valor anterior:
   • EnableDCOM = %configuración definida por el usuario%
   Nuevo valor:
   • EnableDCOM = n

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Valor anterior:
   • restrictanonymous = %configuración definida por el usuario%
   • restrictanonymoussam = %configuración definida por el usuario%
   Nuevo valor:
   • restrictanonymous = 1
   • restrictanonymoussam = 1

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
   Nuevo valor:
   • autoshareserver = 0
   • autosharewks = 0

– [HKLM\SOFTWARE\Microsoft\security center]
   Valor anterior:
   • antivirusdisablenotify = %configuración definida por el usuario%
   • antivirusoverride = %configuración definida por el usuario%
   • firewalldisablenotify = %configuración definida por el usuario%
   • firewalldisableoverride = %configuración definida por el usuario%
   Nuevo valor:
   • antivirusdisablenotify = 1
   • antivirusoverride = 1
   • firewalldisablenotify = 1
   • firewalldisableoverride = 1

Desactiva el cortafuego de Windows:
– [HKLM\SOFTWARE\Policies\Microsoft\windowsfirewall\domainprofile]
   Valor anterior:
   • enablefirewall = %configuración definida por el usuario%
   Nuevo valor:
   • enablefirewall = 0

– [HKLM\SOFTWARE\Policies\Microsoft\windowsfirewall\standardprofile]
   Valor anterior:
   • enablefirewall = %configuración definida por el usuario%
   Nuevo valor:
   • enablefirewall = 0

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valor anterior:
   • Start = %configuración definida por el usuario%
   Nuevo valor:
   • Start = 4

 Messenger Se propaga por Messenger. Sus características están descritas a continuación:

– AIM Messenger

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Exploit:
Emplea la siguiente brecha de seguridad:
– MS06-040 (Vulnerability in Server Service)

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: bniu.house**********
Puerto: 18067
Canal: #n0
Apodo: n0-%serie de caracteres aleatorios%

Servidor: ypgw.wall**********
Puerto: 18067
Canal: #n0
Apodo: n0-%serie de caracteres aleatorios%


– Además puede efectuar las siguientes operaciones:
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Iniciar ataques DDoS por desbordamiento de UDP
    • Descargar fichero
    • Ejecutar fichero
    • Iniciar la rutina de propagación

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • wgavm

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Philipp Wolf el domingo 13 de agosto de 2006
Descripción actualizada por Andrei Gherman el lunes 14 de agosto de 2006

Volver . . . .