Nombre:Worm/Akbot.H.7
Descubierto:21/09/2006
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:24.644 Bytes
Suma de control MD5:ea92efdc4cda122e50758db66595e1dc
Versión del VDF:6.36.00.42
Versión del IVDF:6.36.00.52 - viernes 22 de septiembre de 2006

 General Método de propagación:
   • Red local


Alias:
   •  Kaspersky: Backdoor.Win32.Akbot.h


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\windirx.dl



Elimina la copia inicial del virus.



Crea el siguiente fichero:

%directorio actual%\uninstal.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "WinDLL (windirx.dll)"="rundll32.exe %SYSDIR%\windirx.dll,start"

 Infección en la red Exploit:
Emplea la siguiente brecha de seguridad:
– MS04-007 (ASN.1 Vulnerability)

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: s1.contentzone.**********
Puerto: 7755
Contraseña del servidor: b00ndocks
Canal: #.map
Apodo: %serie de caracteres aleatorios%
Contraseña: yellow



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Memoria disponible
    • Informaciones acerca de la red
    • Informaciones acerca de los procesos del sistema
    • Tamaño de la memoria
    • Nombre de usuario
    • Carpeta Windows
    • Informaciones acerca del sistema operativo Windows


– Además puede efectuar las siguientes operaciones:
    • Iniciar ataques DDoS por desbordamiento de ICMP
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Iniciar ataques DDoS por desbordamiento de UDP
    • desconectarse del servidor IRC
    • Descargar fichero
    • Ejecutar fichero
    • Terminar proceso
    • Salir del canal IRC
    • Abrir remote shell
    • Ejecutar ataque DDoS
    • Realizar un análisis de la red
    • Enviar mensajes de correo
    • Se actualiza solo
    • Cargar fichero en Internet

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Bogdan Iliuta el viernes 29 de septiembre de 2006

Volver . . . .