Descripción completa

Nombre:	Worm/Rbot.174080.17
Descubierto:	10/01/2007
Tipo:	Gusano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	174.080 Bytes
Suma de control MD5:	e91667e7223781232714025c739361d4
Versión del VDF:	6.36.00.213
Versión del IVDF:	6.36.00.237 - domingo 5 de noviembre de 2006

General Método de propagación:
   • Red local

Alias:
   • Kaspersky: Backdoor.Win32.Rbot.gen
   • Grisoft: IRC/BackDoor.SdBot2.KSK

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %SYSDIR%\%serie de caracteres aleatorios de siete dígitos%.exe

Elimina la copia inicial del virus.

Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Windows Update"="%serie de caracteres aleatorios de siete dígitos%.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "Microsoft Windows Update"="%serie de caracteres aleatorios de siete dígitos%.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Windows Update"="%serie de caracteres aleatorios de siete dígitos%.exe"

Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • C$
   • D$
   • C$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32\
   • ADMIN$

Emplea la siguiente información de inicio de sesión para obtener el acceso al sistema remoto:

–Contraseñas y nombres de usuarios almacenados.

– Un listado de nombres de usuario y contraseñas:
   • administrator; administrador; administrateur; administrat; admins;
      admin; staff; root; computer; owner; student; teacher; wwwadmin;
      guest; default; database; dba; oracle; db2; administrator;
      administrador; administrateur; administrat; admins; admin; adm;
      password1; password; passwd; pass1234; pass; pwd; 007; 123; 1234;
      12345; 123456; 1234567; 12345678; 123456789; 1234567890; 2000; 2001;
      2002; 2003; 2004; test; guest; none; demo; unix; linux; changeme;
      default; system; server; root; null; qwerty; mail; outlook; web; www;
      internet; accounts; accounting; home; homeuser; user; oem; oemuser;
      oeminstall; windows; win98; win2k; winxp; winnt; win2000; qaz; asd;
      zxc; qwe; bob; jen; joe; fred; bill; mike; john; peter; luke; sam;
      sue; susan; peter; brian; lee; neil; ian; chris; eric; george; kate;
      bob; katie; mary; login; loginpass; technical; backup; exchange; fuck;
      bitch; slut; sex; god; hell; hello; domain; domainpass;
      domainpassword; database; access; dbpass; dbpassword; databasepass;
      data; databasepassword; db1; db2; db1234; sql; sqlpassoainstall;
      orainstall; oracle; ibm; cisco; dell; compaq; siemens; nokia; control;
      office; blank; winpass; main; lan; internet; intranet; student;
      teacher; staff

Exploit:
– MS02-018 (Parche para Internet Information Service)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)
– VX05-006 (Remote Heap Overflow al utilizar VERITAS Backup Exec Admin Plus Pack Option)

Proceso de infección:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicación remota.

Ejecución remota:
–Intenta programar una ejecución remota del programa viral, en la máquina recién infectada. Por eso emplea la función NetScheduleJobAdd.

IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: bacho.hassouna.**********
Puerto: 6667
Canal: #UrX#
Apodo: USA|%serie de caracteres aleatorios de cinco dígitos%
Contraseña: #UrX#

– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Contraseñas guardadas
    • Captura de pantalla
    • Captura de imagen de la webcam
    • Velocidad del procesador
    • Usuario actual
    • Espacio libre en el disco
    • Memoria disponible
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de la red
    • Tamaño de la memoria
    • Informaciones acerca del sistema operativo Windows

– Además puede efectuar las siguientes operaciones:
    • conectarse al servidor IRC
    • Iniciar ataques DDoS por desbordamiento de ICMP
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Iniciar ataques DDoS por desbordamiento de TCP
    • Iniciar ataques DDoS por desbordamiento de UDP
    • Desactivar la opción de compartir recursos en la red
    • Activar la opción para compartir recursos en la red
    • Ejecutar fichero
    • Ingresar a un canal IRC
    • Salir del canal IRC
    • Abrir remote shell
    • Ejecutar ataque DDoS
    • Realizar un análisis de la red
    • Redirigir puertos
    • Reiniciar sistema
    • Enviar mensajes de correo
    • Terminar proceso viral
    • Terminar proceso
    • Se actualiza solo
    • Cargar fichero en Internet
    • Visitar un sitio web

Finalización de los procesos Listado de los procesos finalizados:
   • regedit.exe; msconfig.exe; netstat.exe; msblast.exe; zapro.exe;
      navw32.exe; navapw32.exe; zonealarm.exe; wincfg32.exetaskmon.exe;
      PandaAVEngine.exe; sysinfo.exe; mscvb32.exe; MSBLAST.exe; teekids.exe;
      Penis32.exe; bbeagle.exe; SysMonXP.exe; winupd.exe; winsys.exe;
      ssate.exe; rate.exe; d3dupdate.exe; irun4.exe; i11r54n4.exe

Robo de informaciones Intenta robar las siguientes informaciones:
– Windows Product ID

– Las contraseñas de los siguientes programas:
   • Battlefield 1942
   • Battlefield 1942 (Road To Rome)
   • Battlefield 1942 (Secret Weapons of WWII)
   • Battlefield Vietnam
   • Black and White
   • Command & Conquer Generals
   • Command and Conquer: Generals (Zero Hour)
   • Command and Conquer: Red Alert 2
   • Command and Conquer: Tiberian Sun
   • Counter-Strike (Retail)
   • Chrome
   • FIFA 2002
   • FIFA 2003
   • Freedom Force
   • Global Operations
   • Gunman Chronicles
   • Half-Life
   • Hidden & Dangerous 2
   • IGI 2: Covert Strike
   • Industry Giant 2
   • James Bond 007: Nightfire
   • Legends of Might and Magic
   • Medal of Honor: Allied Assault
   • Medal of Honor: Allied Assault: Breakthrough
   • Medal of Honor: Allied Assault: Spearhead
   • Nascar Racing 2002
   • Nascar Racing 2003
   • Need For Speed Hot Pursuit 2
   • Need For Speed: Underground
   • Neverwinter Nights
   • Neverwinter Nights (Hordes of the Underdark)
   • Neverwinter Nights (Shadows of Undrentide)
   • NHL 2003
   • NHL 2002
   • NOX
   • Rainbow Six III RavenShield
   • Shogun: Total War: Warlord Edition
   • Soldier of Fortune II - Double Helix
   • Soldiers Of Anarchy
   • The Gladiators
   • Unreal Tournament 2003
   • Unreal Tournament 2004

– Monitoriza la red mediante un sniffer y busca las siguientes series de caracteres:
   • :.login; :,login; :!login; :@login; :$login; :%login; :^login;
      :&login; :*login; :-login; :+login; :/login; :\login; :=login;
      :?login; :'login; :`login; :~login; : login; :.auth; :,auth; :!auth;
      :@auth; :$auth; :%auth; :^auth; :&auth; :*auth; :-auth; :+auth;
      :/auth; :\auth; :=auth; :?auth; :'auth; :`auth; :~auth; : auth; :.id;
      :,id; :!id; :@id; :$id; :%id; :^id; :&id; :*id; :-id; :+id; :/id;
      :\id; :=id; :?id; :'id; :`id; :~id; : id; :.hashin; :!hashin;
      :$hashin; :%hashin; :.secure; :!secure; :.l; :!l; :$l; :%l; :.x; :!x;
      :$x; :%x; :.syn; :!syn; :$syn; :%syn; :!ident; :.ident

– Se inicia una rutina de creación de ficheros log después de teclear el siguiente texto:
   • paypal

– Captura:
    • Pulsaciones de teclado

– Después de visitar el siguiente sitio web, se crea una rutina para generar ficheros de informe:
   • http://www.paypal.com

– Captura:
    • Informaciones para iniciar sesión

Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
• stfu

Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• PE Win32 Dll

Descripción insertada por Monica Ghitun el miércoles 10 de enero de 2007
Descripción actualizada por Monica Ghitun el jueves 11 de enero de 2007

Volver . . . .