Nombre:Worm/Poebot.K
Descubierto:30/09/2006
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:53.521 Bytes
Suma de control MD5:40010cc1ca2d123d654f0163830d398c
Versión del VDF:6.36.00.70
Versión del IVDF:6.36.00.84 - lunes 9 de octubre de 2006

 General Método de propagación:
   • Red local


Alias:
   •  Kaspersky: Backdoor.Win32.PoeBot.k
   •  F-Secure: Backdoor.Win32.PoeBot.k
   •  Grisoft: IRC/BackDoor.SdBot2.JJN
   •  Eset: Win32/Poebot
   •  Bitdefender: Backdoor.RBot.HES


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Suelta copias suyas en el sistema, escogiendo un nombre de fichero de unos listados:
– Para: %SYSDIR%\ Empleando uno de los siguientes nombres:
   • csrs.exe
   • logon.exe
   • explorer.exe
   • supoolsvc.exe
   • lsass.exe
   • algs.exe
   • iexplore.exe
   • winamp.exe
   • firewall.exe
   • lssas.exe
   • winIogon.exe
   • spooIsv.exe
   • spoolsvc.exe




Elimina la copia inicial del virus.



Crea el siguiente fichero:

%directorio donde se ejecuta el programa viral%\%serie de caracteres aleatorios%.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Client Server Runtime Process"="%SYSDIR%\csrs.exe"
   • "Windows Logon Application"="%SYSDIR%\logon.exe"
   • "Windows Explorer"="%SYSDIR%\explorer.exe"
   • "Spooler SubSystem App"="%SYSDIR%\supoolsvc.exe"
   • "Local Security Authority Service"="%SYSDIR%\lsass.exe"
   • "Application Layer Gateway Service"="%SYSDIR%\algs.exe"
   • "Microsoft Internet Explorer"="%SYSDIR%\iexplore.exe"
   • "Winamp Agent"="%SYSDIR%\winamp.exe"
   • "Windows Network Firewall"="%SYSDIR%\firewall.exe
   • "Local Security Authority Service"="%SYSDIR%\lssas.exe"
   • "Windows Logon Application"="%SYSDIR%\winIogon.exe"
   • "Spooler SubSystem App"="%SYSDIR%\spooIsvc.exe"
   • "Spooler SubSystem App"="%SYSDIR%\spoolsvc.exe"

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • IPC$
   • print$
   • C$\Documents and Settings\All Users\Documents\$
   • admin$
   • Admin$\system32
   • c$\windows\system32
   • c$\winnt\system32
   • c$\windows
   • c$\winnt
   • e$\shared
   • d$\shared
   • c$\shared


Emplea la siguiente información de inicio de sesión para obtener el acceso al sistema remoto:

– El siguiente listado de nombres de usuario:
   • staff; teacher; owner; student; intranet; lan; main; office; control;
      siemens; compaq; dell; cisco; ibm; oracle; sql; data; access;
      database; domain; god; backup; technical; mary; katie; kate; george;
      eric; none; guest; chris; ian; neil; lee; brian; susan; sue; sam;
      luke; peter; john; mike; bill; fred; joe; jen; bob; wwwadmin; oemuser;
      user; homeuser; home; internet; www; web; root; server; linux; unix;
      computer; adm; admin; admins; administrat; administrateur;
      administrador; administrator

– El siguiente listado de contraseñas:
   • winpass; blank; nokia; orainstall; sqlpassoainstall; db1234; db2; db1;
      databasepassword; databasepass; dbpassword; dbpass; domainpassword;
      domainpass; hello; hell; love; money; slut; bitch; fuck; exchange;
      loginpass; login; qwe; zxc; asd; qaz; win2000; winnt; winxp; win2k;
      win98; windows; oeminstall; oem; accounting; accounts; letmein; sex;
      outlook; mail; qwerty; temp123; temp; null; default; changeme; demo;
      test; 2005; 2004; 2001; secret; payday; deadline; work; 1234567890;
      123456789; 12345678; 1234567; 123456; 12345; 1234; 123; 007; pwd;
      pass; pass1234; dba; passwd; password; password1; abc



Exploit:
Emplea las siguientes brechas de seguridad:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


Ejecución remota:
–Intenta programar una ejecución remota del programa viral, en la máquina recién infectada. Por eso emplea la función NetScheduleJobAdd.

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: bignato5hg.**********
Puerto: 1863
Canal: #soundblaster
Apodo: i-%serie de caracteres aleatorios%

Servidor: mine.ISDON4.**********
Puerto: 1863
Canal: #soundblaster
Apodo: i-%serie de caracteres aleatorios%



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Usuario actual
    • Informaciones acerca de los controladores de dispositivos
    • Espacio libre en el disco
    • Memoria disponible
    • Informaciones acerca de la red
    • Tamaño de la memoria
    • Nombre de usuario
    • Informaciones acerca del sistema operativo Windows


– Además puede efectuar las siguientes operaciones:
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Descargar fichero
    • Realizar un análisis de la red

 Robo de informaciones Intenta robar las siguientes informaciones:
– Contraseñas guardadas, empleadas por la función AutoComplete

– Las siguientes claves de CD:
   • World Of Warcraft
   • Unreal3
   • Steam
   • Conquer Online

– Las contraseñas de los siguientes programas:
   • FlashFXP
   • OutlookExpress
   • MSN

– Se inicia una rutina de creación de ficheros log después de teclear los siguientes textos:
   • paypal; cd key; cd-key; cdkey; passwort; auth; sxt; login; pw=; pass=;
      login=; password=; username=; passwd=; :auth; identify; oper;
      MailPass; pass; unknown; user

– Captura:
    • Pulsaciones de teclado

– Inicia una rutina de creación de ficheros log después de visitar un sitio web que contiene la siguiente subserie de caracteres en su URL:
   • paypal.com

– Captura:
    • Informaciones para iniciar sesión

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • c2301097005ee0617399022b8f519763a06d

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Adriana Popa el miércoles 13 de diciembre de 2006
Descripción actualizada por Adriana Popa el lunes 18 de diciembre de 2006

Volver . . . .