Descripción completa

Nombre:	Worm/Aimbot.ER
Descubierto:	16/08/2006
Tipo:	Gusano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio-alto
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	52.224 Bytes
Suma de control MD5:	48d99490c725f9820Bd34f221ef8d59b
Versión del VDF:	6.35.01.101
Versión del IVDF:	6.35.01.102 - miércoles 16 de agosto de 2006

General Métodos de propagación:
   • Red local
   • Messenger

Alias:
   • Kaspersky: Backdoor.Win32.Aimbot.er
   • Bitdefender: Backdoor.Sdbot.HXK

Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %WINDIR%\taskms.exe

Elimina la copia inicial del virus.

Registro Añade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

– HKLM\System\CurrentControlSet\Services\TSKMS
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\taskms.exe"
   • "DisplayName"="Task Manager Message Service"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%hexvalues%
   • "Description"="Provides task manager information reguarding with the Microsoft Messenger Service."

– HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\TSKMS\Enum
   • "0"="Root\\LEGACY_TSKMS\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\TSKMS\Security
   • "Security"=%hexvalues%

Añade las siguientes claves al registro:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
   • "Melt"="%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%"

– HKLM\SOFTWARE\Microsoft\Security Center
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
   • "DoNotAllowXPSP2"=dword:00000001

Modifica las siguientes claves del registro:

Desactiva el cortafuego de Windows:
– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
   Nuevo valor:
   • "EnableFirewall"=dword:00000000

Desactiva el cortafuego de Windows:
– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
   Nuevo valor:
   • "EnableFirewall"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update
   Valor anterior:
   • "AUOptions"=%configuración definida por el usuario%
   • "AUState"=%configuración definida por el usuario%
   Nuevo valor:
   • "AUOptions"=dword:00000001
   • "AUState"=dword:00000007

– HKLM\SYSTEM\CurrentControlSet\Services\wscsvc
   Valor anterior:
   • "Start"=%configuración definida por el usuario%
   Nuevo valor:
   • "Start"=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr
   Valor anterior:
   • "Start"=%configuración definida por el usuario%
   Nuevo valor:
   • "Start"=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry
   Valor anterior:
   • "Start"=%configuración definida por el usuario%
   Nuevo valor:
   • "Start"=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\Messenger
   Valor anterior:
   • "Start"=%configuración definida por el usuario%
   Nuevo valor:
   • "Start"=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Valor anterior:
   • "restrictanonymous"=%configuración definida por el usuario%
   Nuevo valor:
   • "restrictanonymous"=dword:00000001

– HKLM\SOFTWARE\Microsoft\Ole
   Valor anterior:
   • "EnableDCOM"="Y"
   Nuevo valor:
   • "EnableDCOM"="N"

Messenger Se propaga por Messenger. Sus características están descritas a continuación:

– AIM Messenger
– ICQ Messenger
– Windows Live Messenger
– Yahoo Messenger

A:
Todas las ventanas de conversación abiertas.

Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Exploit:
Emplea las siguientes brechas de seguridad:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: pwn.ultimate**********
Puerto: 405
Contraseña del servidor: nigga
Canal: #sti
Apodo: [P00|USA|%serie de caracteres aleatorios de cinco dígitos%]
Contraseña: torque

– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Contraseñas guardadas
    • Tiempo de trabajo del programa viral

– Además puede efectuar las siguientes operaciones:
    • conectarse al servidor IRC
    • Desactivar DCOM
    • desconectarse del servidor IRC
    • Descargar fichero
    • Editar el registro del sistema
    • Activar DCOM
    • Activar la opción para compartir recursos en la red
    • Ejecutar fichero
    • Ingresar a un canal IRC
    • Terminar proceso
    • Salir del canal IRC
    • Ejecutar ataque DDoS
    • Realizar un análisis de la red
    • Iniciar la rutina de propagación
    • Terminar proceso
    • Se actualiza solo

Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
• tghynjk

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• PECompact

Descripción insertada por Teodor Onisor el viernes 18 de agosto de 2006
Descripción actualizada por Teodor Onisor el viernes 18 de agosto de 2006

Volver . . . .

Protección destacada para PC del hogar

Productos gratis

Más populares

Todos los productos

Paquetes de soluciones

Terminales

Server

Paquetes de soluciones

Puertas de enlace de correo

Puertas de enlace web

Plataformas de colaboración

Particulares

Empresas

Laboratorio de virus

Más soporte

Hágase socio de Avira

Particulares

Empresas

?Solo quiere evaluar un producto?

Manuales y herramientas