Nombre:Worm/Akbot.22568.B
Descubierto:06/10/2006
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:22.568 Bytes
Suma de control MD5:67871e358250326e2d5abc669516dfe9
Versión del VDF:6.36.00.80
Versión del IVDF:6.36.00.96 - jueves 12 de octubre de 2006

 General Método de propagación:
   • Red local


Alias:
   •  Kaspersky: Backdoor.Win32.Akbot.j
   •  TrendMicro: BKDR_AKBOT.AS
   •  F-Secure: Backdoor.Win32.Akbot.j
   •  Sophos: W32/Akbot-AG


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Bloquea el acceso a portales de seguridad
   • Suelta un fichero
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\ltssvc.dll



Crea el siguiente fichero:

%TEMPDIR%\uninstall.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ltssvc"="rundll32.exe %SYSDIR%\ltssvc.dll,start"

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Exploit:
Emplea las siguientes brechas de seguridad:
– MS04-007 (ASN.1 Vulnerability)
– MS06-040 (Vulnerability in Server Service)

 Ficheros host El fichero host es modificado de la siguiente manera:

– En este caso, las entradas existentes serán eliminadas.

– El acceso a los siguientes dominios está bloqueado:
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      kaspersky-labs.com; www.kaspersky.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; pandasoftware.com; www.pandasoftware.com;
      www.trendmicro.com; www.grisoft.com; www.microsoft.com; microsoft.com;
      update.microsoft.com; www.virustotal.com; virustotal.com;
      www.ahnlab.com; suc.ahnlab.com; auth.ahnlab.com; ahnlab.com




El fichero host modificado se verá así:


 Backdoor (Puerta trasera) Servidor contactado:
La siguiente:
   • http://net.phatnet.**********

De esta forma, puede enviar informaciones y obtener el control remoto.

Envía informaciones acerca de:
    • Velocidad del procesador
    • Usuario actual
    • Memoria disponible
    • Dirección IP


Capabilidades de control remoto:
    • Iniciar ataques DDoS por desbordamiento de ICMP
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Iniciar ataques DDoS por desbordamiento de UDP

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • lite.3

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • Petite

Descripción insertada por Adriana Popa el martes 7 de noviembre de 2006
Descripción actualizada por Adriana Popa el martes 7 de noviembre de 2006

Volver . . . .