¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/RBot.328262
Descubierto:08/07/2005
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:558.080 Bytes
Suma de control MD5:a36bf2770D4763d8f53ae224d9bcfb57
Versión del VDF:6.31.0.172

 General Métodos de propagación:
   • Red local


Alias:
   •  Sophos: W32/Tilebot-HD


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\lsass.exe



Sobrescribe los siguientes ficheros.
%SYSDIR%\ftp.exe
%SYSDIR%\tftp.exe



Elimina la copia inicial del virus.

 Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– HKLM\SYSTEM\CurrentControlSet\Services\Spool SubSystem App
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\lsass.exe"
   • "DisplayName"="Spool SubSystem App"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%hex value%
   • "Description"="Spool SubSystem App"



Añade las siguientes claves al registro:

– HKLM\SYSTEM\CurrentControlSet\Services\Spool SubSystem App\Security
   • "Security"=%hex value%

– HKLM\SYSTEM\CurrentControlSet\Services\Spool SubSystem App\Enum
   • "0"="Root\\LEGACY_SPOOL_SUBSYSTEM_APP\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOL_SUBSYSTEM_APP
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOL_SUBSYSTEM_APP\
   0000
   • "Service"="Spool SubSystem App"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Spool SubSystem App"

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOL_SUBSYSTEM_APP\
   0000\Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="Spool SubSystem App"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
   • "windns"=%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • c$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32
   • ADMIN$


Exploit:
Emplea las siguientes brechas de seguridad:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)


Proceso de infección:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicación remota.


Ejecución remota:
–Intenta programar una ejecución remota del programa viral, en la máquina recién infectada. Por eso emplea la función NetScheduleJobAdd.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: mail2.tik**********
Puerto: 9632;7412
Canal: #z#
Apodo: [P00|USA|%serie de caracteres aleatorios de ocho dígitos%]
Contraseña: m00



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Usuario actual
    • Espacio libre en el disco
    • Memoria disponible
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de la red
    • Informaciones acerca de los procesos del sistema
    • Tamaño de la memoria
    • Informaciones acerca del sistema operativo Windows


– Además puede efectuar las siguientes operaciones:
    • Iniciar ataques DDoS por desbordamiento de ICMP
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Iniciar ataques DDoS por desbordamiento de UDP
    • Desactivar la opción de compartir recursos en la red
    • Descargar fichero
    • Editar el registro del sistema
    • Activar la opción para compartir recursos en la red
    • Ejecutar fichero
    • Terminar proceso
    • Abrir remote shell
    • Ejecutar ataque DDoS
    • Realizar un análisis de la red
    • Redirigir puertos
    • Terminar proceso viral
    • Se actualiza solo

 Backdoor (Puerta trasera) Servidor contactado:
La siguiente:
   • htp://www.littleworld.pe.kr/**********

Esto se realiza mediante una interrogación HTTP GET en un script PHP.

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: %SYSDIR%\sfc_os.dll

    Los siguientes procesos:
   • %SYSDIR%\winlogon.exe
   • %SYSDIR%\svchost.exe
   • %SYSDIR%\spoolsv.exe


 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • w7p5h9e5k7x5


Técnicas anti-debugging
Verifica la presencia del siguiente fichero:
   • \\.\NTICE



Modificación del fichero:
Para aumentar el número máximo de conexiones, modifica el fichero tcpip.sys. Esto puede dañar el fichero e interrumpir la conectividad en la red.
Es capaz de modificar el fichero sfc_os.dll en offset 0000E2B8 para inhabilitar Windows File Protection (WFP). WFP sirve para evitar algunos de los problemas actuales que causa inconsistencias con el DLL.

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Bogdan Iliuta el viernes, 13 de octubre de 2006
Descripción actualizada por Andrei Gherman el martes, 21 de noviembre de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.