¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/RBot.328262
Descubierto:08/07/2005
Tipo:Gusano
En circulacin (ITW):No
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio
Potencial daino:Medio
Fichero esttico:S
Tamao:558.080 Bytes
Suma de control MD5:a36bf2770D4763d8f53ae224d9bcfb57
Versin del VDF:6.31.0.172

 General Mtodos de propagacin:
   • Red local


Alias:
   •  Sophos: W32/Tilebot-HD


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %WINDIR%\lsass.exe



Sobrescribe los siguientes ficheros.
%SYSDIR%\ftp.exe
%SYSDIR%\tftp.exe



Elimina la copia inicial del virus.

 Registro Aade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

HKLM\SYSTEM\CurrentControlSet\Services\Spool SubSystem App
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\lsass.exe"
   • "DisplayName"="Spool SubSystem App"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%hex value%
   • "Description"="Spool SubSystem App"



Aade las siguientes claves al registro:

HKLM\SYSTEM\CurrentControlSet\Services\Spool SubSystem App\Security
   • "Security"=%hex value%

HKLM\SYSTEM\CurrentControlSet\Services\Spool SubSystem App\Enum
   • "0"="Root\\LEGACY_SPOOL_SUBSYSTEM_APP\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOL_SUBSYSTEM_APP
   • "NextInstance"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOL_SUBSYSTEM_APP\
   0000
   • "Service"="Spool SubSystem App"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Spool SubSystem App"

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOL_SUBSYSTEM_APP\
   0000\Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="Spool SubSystem App"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
   • "windns"=%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%

 Infeccin en la red Para asegurar su propagacin, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuacin.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • c$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32
   • ADMIN$


Exploit:
Emplea las siguientes brechas de seguridad:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)


Proceso de infeccin:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicacin remota.


Ejecucin remota:
Intenta programar una ejecucin remota del programa viral, en la mquina recin infectada. Por eso emplea la funcin NetScheduleJobAdd.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: mail2.tik**********
Puerto: 9632;7412
Canal: #z#
Apodo: [P00|USA|%serie de caracteres aleatorios de ocho dgitos%]
Contrasea: m00



 Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Usuario actual
    • Espacio libre en el disco
    • Memoria disponible
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de la red
    • Informaciones acerca de los procesos del sistema
    • Tamao de la memoria
    • Informaciones acerca del sistema operativo Windows


 Adems puede efectuar las siguientes operaciones:
     Iniciar ataques DDoS por desbordamiento de ICMP
     Iniciar ataques DDoS por desbordamiento de SYN
     Iniciar ataques DDoS por desbordamiento de UDP
    • Desactivar la opcin de compartir recursos en la red
    • Descargar fichero
    • Editar el registro del sistema
    • Activar la opcin para compartir recursos en la red
    • Ejecutar fichero
    • Terminar proceso
    • Abrir remote shell
    • Ejecutar ataque DDoS
     Realizar un anlisis de la red
    • Redirigir puertos
    • Terminar proceso viral
     Se actualiza solo

 Backdoor (Puerta trasera) Servidor contactado:
La siguiente:
   • htp://www.littleworld.pe.kr/**********

Esto se realiza mediante una interrogacin HTTP GET en un script PHP.

 Inyectar el cdigo viral en otros procesos –  Inyecta el siguiente fichero en un proceso: %SYSDIR%\sfc_os.dll

    Los siguientes procesos:
   • %SYSDIR%\winlogon.exe
   • %SYSDIR%\svchost.exe
   • %SYSDIR%\spoolsv.exe


 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • w7p5h9e5k7x5


Tcnicas anti-debugging
Verifica la presencia del siguiente fichero:
   • \\.\NTICE



Modificacin del fichero:
Para aumentar el nmero mximo de conexiones, modifica el fichero tcpip.sys. Esto puede daar el fichero e interrumpir la conectividad en la red.
Es capaz de modificar el fichero sfc_os.dll en offset 0000E2B8 para inhabilitar Windows File Protection (WFP). WFP sirve para evitar algunos de los problemas actuales que causa inconsistencias con el DLL.

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Bogdan Iliuta el viernes 13 de octubre de 2006
Descripción actualizada por Andrei Gherman el martes 21 de noviembre de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.