Nombre:Worm/Aimbot.EQ
Descubierto:13/10/2006
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-alto
Fichero estático:
Tamaño:1.184.256 Bytes
Suma de control MD5:5fab5a579a0Af582d3a9b99454727125
Versión del VDF:6.35.01.101
Versión del IVDF:6.35.01.102 - miércoles 16 de agosto de 2006

 General Métodos de propagación:
   • Red local
   • Messenger


Alias:
   •  Kaspersky: Backdoor.Win32.Aimbot.eq
   •  TrendMicro: WORM_RBOT.UV
   •  Eset: Win32/Rbot
   •  Bitdefender: Backdoor.Aimbot.EQ


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Roba informaciones

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\mde.exe



Crea el siguiente fichero:

%SYSDIR%\drivers\oreans32.sys Además, el fichero es ejecutado después de haber sido creado.

 Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32]
   • "Type"=dword:00000001
     "Start"=dword:00000001
     "ErrorControl"=dword:00000001
     "ImagePath"=\??\%SYSDIR%\drivers\oreans32.sys
     "DisplayName"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum]
   • "0"="Root\\LEGACY_OREANS32\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001



Añade las siguientes claves al registro:

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000]
   • "Service"="oreans32"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="oreans32"

 Messenger Se propaga por Messenger. Sus características están descritas a continuación:

– AIM Messenger

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • C$
   • D$


Exploit:
Emplea las siguientes brechas de seguridad:
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


Creación de direcciones IP:
Crea direcciones IP aleatorias y guarda los primeros dos octetos de su propia dirección. Luego intenta establecer una conexión con las direcciones generadas.


Ralentización:
– También se podría notar una ralentización debida a la creación de varios hilos de ejecución en la red.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: irc.fucknet.**********
Puerto: 6667
Canal: #~#
Apodo: [P00|USA|8%serie de caracteres aleatorios de cuatro dígitos%]
Contraseña: !@#


– Además puede efectuar las siguientes operaciones:
    • conectarse al servidor IRC
    • Ingresar a un canal IRC
    • Salir del canal IRC
    • Realizar un análisis de la red
    • Enviar mensajes de correo

 Robo de informaciones Intenta robar las siguientes informaciones:
– Windows Product ID

– Monitoriza la red mediante un sniffer y busca la siguiente serie de caracteres:
   • :!x

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • %serie de caracteres aleatorios de cinco dígitos%


Técnicas anti-debugging
Verifica si está funcionando el siguiente programa:
   • SoftIce

Al encontrarlos, termina su ejecución de inmediato.

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Monica Ghitun el lunes 16 de octubre de 2006
Descripción actualizada por Monica Ghitun el miércoles 1 de noviembre de 2006

Volver . . . .