Nombre:Worm/Agobot.LY
Descubierto:17/06/2004
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:256.512 Bytes
Suma de control MD5:58bba52d4d709402f80F9fa523e667d6
Versión del VDF:6.25.00.100

 General Método de propagación:
   • Red local


Alias:
   •  Eset: Win32/Agobot


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Bloquea el acceso a portales de seguridad
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\svrhost.exe



Elimina la copia inicial del virus.

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "microsoft update process"="svrhost.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "microsoft update process"="svrhost.exe"

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • IPC$
   • IPC$
   • C$
   • D$
   • E$
   • ADMIN$
   • ADMIN$
   • print$
Emplea las siguientes brechas de seguridad:
– MS01-059 (Unchecked Buffer in Universal Plug and Play)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS05-039 (Vulnerability in Plug and Play)


Ejecución remota:
–Intenta programar una ejecución remota del programa viral, en la máquina recién infectada. Por eso emplea la función NetScheduleJobAdd.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: firm.no-ip.org
Puerto: 6667
Canal: #deltawarez
Apodo: %serie de caracteres aleatorios%
Contraseña: mznxbcv



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Usuario actual
    • Informaciones acerca de los controladores de dispositivos
    • Espacio libre en el disco
    • Memoria disponible
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de la red
    • Tamaño de la memoria
    • Nombre de usuario
    • Informaciones acerca del sistema operativo Windows


– Además puede efectuar las siguientes operaciones:
    • conectarse al servidor IRC
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Iniciar ataques DDoS por desbordamiento de TCP
    • Iniciar ataques DDoS por desbordamiento de UDP
    • desconectarse del servidor IRC
    • Descargar fichero
    • Ejecutar fichero
    • Ingresar a un canal IRC
    • Terminar proceso
    • Salir del canal IRC
    • Realizar un análisis de la red
    • Redirigir puertos
    • Se actualiza solo
    • Visitar un sitio web

 Ficheros host El fichero host es modificado de la siguiente manera:

– En este caso, las entradas existentes quedan sin modificar.

– El acceso a los siguientes dominios está bloqueado:
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      www.avp.com; www.kaspersky.com; avp.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.trendmicro.com




El fichero host modificado se verá así:


 Backdoor (Puerta trasera) Abre los siguientes puertos:

%SYSDIR%\svrhost.exe en el puerto TCP 5840 para proporcionar capabilidades de backdoor.
%SYSDIR%\svrhost.exe en el puerto TCP 10422 para proporcionar capabilidades de backdoor.

 Robo de informaciones Intenta robar las siguientes informaciones:

– Las siguientes claves de CD:
   • Battlefield 1942; Battlefield 1942 (Road To Rome); Battlefield 1942
      (Secret Weapons of WWII); Battlefield Vietnam; Black and White;
      Command & Conquer Generals; Command and Conquer: Generals (Zero Hour);
      Command and Conquer: Red Alert 2; Command and Conquer: Tiberian Sun;
      Counter-Strike (Retail); FIFA 2002; FIFA 2003; Freedom Force; Global
      Operations; Gunman Chronicles; Half-Life; Hidden & Dangerous 2; IGI 2:
      Covert Strike; Industry Giant 2; James Bond 007: Nightfire; Medal of
      Honor: Allied Assault; Medal of Honor: Allied Assault: Breakthrough;
      Medal of Honor: Allied Assault: Spearhead; Nascar Racing 2002; Nascar
      Racing 2003; Need For Speed: Underground; Neverwinter Nights; NHL
      2003; NHL 2002; Rainbow Six III RavenShield; Shogun: Total War:
      Warlord Edition; Soldier of Fortune II - Double Helix; Soldiers Of
      Anarchy; The Gladiators; Unreal Tournament 2003; Unreal Tournament
      2004

– Las contraseñas de los siguientes programas:
   • Emails Addresses stored in WAB(Windows Address Book)
   • AOL Messenger passwords
   • Windows Messenger passwords

– Monitoriza la red mediante un sniffer y busca las siguientes series de caracteres:
   • :.login
   • :!login
   • :.hashin
   • :!hashin
   • :.secure
   • :!secure
   • :!ident
   • :.ident

– Después de visitar el siguiente sitio web, se crea una rutina para generar ficheros de informe:
   • paypal.com

– Captura:
    • Informaciones para iniciar sesión

 Informaciones diversas Técnicas anti-debugging
Verifica si está funcionando el siguiente programa:
   • SoftICE


 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Teodor Onisor el viernes 3 de noviembre de 2006
Descripción actualizada por Teodor Onisor el viernes 3 de noviembre de 2006

Volver . . . .