Nombre:BDS/VanBot.N
Descubierto:21/09/2006
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:91.648 Bytes
Suma de control MD5:559d68d3f45da4bbc74ebb8fd425ecf0
Versión del VDF:6.36.00.42
Versión del IVDF:6.36.00.52 - viernes 22 de septiembre de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: W32/Sdbot.worm!MS06-040
   •  Kaspersky: Backdoor.Win32.VanBot.n
   •  TrendMicro: WORM_SPYBOT.FC
   •  Sophos: W32/Spybot-MK


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\dllcache\grand.exe



Elimina la copia inicial del virus.

 Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– HKLM\SYSTEM\CurrentControlSet\Services\Italian Grand Prix
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\dllcache\grand.exe"
   • "DisplayName"="Italian Grand Prix"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%número hexadecimal%
   • "Description"="Italian Grand Prix."

– HKLM\SYSTEM\CurrentControlSet\Services\Italian Grand Prix\Enum
   • "0"="Root\LEGACY_ITALIAN_GRAND_PRIX\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



Modifica las siguientes claves del registro:

Desactiva el cortafuego de Windows:
– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
   Nuevo valor:
   • "Start"=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
   Nuevo valor:
   • "Start"=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Nuevo valor:
   • "restrictanonymous"=dword:00000001
   • "lmcompatibilitylevel"=dword:00000001

– HKLM\SOFTWARE\Microsoft\Ole
   Nuevo valor:
   • "EnableDCOM"="N"

 Infección en la red Emplea la siguiente información de inicio de sesión para obtener el acceso al sistema remoto:

– Un listado de nombres de usuario y contraseñas:
   • www; windows; web; visitor; test2; test1; test; temp; telnet; ruler;
      remote; real; random; qwerty; public; pub; private; poiuytre;
      password; passwd; pass; oracle; one; nopass; nobody; nick; newpass;
      new; network; monitor; money; manager; mail; login; internet; install;
      hello; guest; free; demo; default; debug; database; crew; computer;
      coffee; bin; beta; backup; backdoor; anonymous; anon; alpha; adm;
      access; abc123; abc; system; sys; super; sql; shit; shadow; setup;
      security; secure; secret; 123456789; 12345678; 1234567; 123456; 12345;
      1234; 123; 00000000; 0000000; 000000; 00000; 0000; 000; server;
      asdfgh; admin; root



Exploit:
Emplea las siguientes brechas de seguridad:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS06-040 (Vulnerability in Server Service)


Proceso de infección:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicación remota.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: grand.hottest.**********
Puerto: 4915
Canal: #.vam.#
Apodo: [0]USA|%sistema operativo% [P]%número%
Contraseña: vnc


– Además puede efectuar las siguientes operaciones:
    • Descargar fichero
    • Ingresar a un canal IRC
    • Abrir remote shell
    • Realizar un análisis de la red
    • Iniciar la captura de pulsaciones de teclado
    • Iniciar la rutina de propagación
    • Se actualiza solo

 Finalización de los procesos Termina los procesos que contienen las siguientes series de caracteres:
   • Ad-aware; spyware; hijack; kav; proc; norton; mcafee; f-pro; lockdown;
      firewall; blackice; avg; vsmon; zonea; spybot; nod32; reged; avp;
      troja; viru; anti

Han finalizado los procesos que contienen uno de los siguientes títulos de ventana:
   • Ad-aware; spyware; hijack; kav; proc; norton; mcafee; f-pro; lockdown;
      firewall; blackice; avg; vsmon; zonea; spybot; nod32; reged; avp;
      troja; viru; anti


 Backdoor (Puerta trasera) Abre el siguiente puerto:

%SYSDIR%\dllcache\grand.exe en un puerto TCP aleatorio para funcionar como servidor FTP.

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Ionut Slaveanu el martes 26 de septiembre de 2006
Descripción actualizada por Andrei Ivanes el viernes 20 de octubre de 2006

Volver . . . .