Nombre:Worm/VanBot.ay
Descubierto:13/03/2007
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:161.792 Bytes
Suma de control MD5:d1923c613668592b0f579d96db21b738
Versión del VDF:6.38.00.43
Versión del IVDF:6.38.00.44 - martes 13 de marzo de 2007

 General Método de propagación:
   • Red local


Alias:
   •  Kaspersky: Backdoor.Win32.VanBot.ay
   •  F-Secure: Backdoor.Win32.VanBot.ay
   •  Eset: Win32/Poebot


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Suelta una copia suya en el sistema, escogiendo el nombre del fichero de un listado:
– Para: %SYSDIR%\ Empleando uno de los siguientes nombres:
   • csrs.exe
   • logon.exe
   • explorer.exe
   • supoolsvc.exe
   • lsass.exe
   • algs.exe
   • iexplore.exe
   • winamp.exe
   • firewall.exe
   • lssas.exe
   • winIogon.exe
   • spooIsv.exe
   • spoolsvc.exe




Elimina la copia inicial del virus.



Crea el siguiente fichero:

%directorio donde se ejecuta el programa viral%\%serie de caracteres aleatorios%.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Client Server Runtime Process"="%SYSDIR%\csrs.exe"
   • "Windows Logon Application"="%SYSDIR%\logon.exe"
   • "Windows Explorer"="%SYSDIR%\explorer.exe"
   • "Spooler SubSystem App"="%SYSDIR%\supoolsvc.exe"
   • "Local Security Authority Service"="%SYSDIR%\lsass.exe"
   • "Application Layer Gateway Service"="%SYSDIR%\algs.exe"
   • "Microsoft Internet Explorer"="%SYSDIR%\iexplore.exe"
   • "Winamp Agent"="%SYSDIR%\winamp.exe"
   • "Windows Network Firewall"="%SYSDIR%\firewall.exe
   • "Local Security Authority Service"="%SYSDIR%\lssas.exe"
   • "Windows Logon Application"="%SYSDIR%\winIogon.exe"
   • "Spooler SubSystem App"="%SYSDIR%\spooIsvc.exe"
   • "Spooler SubSystem App"="%SYSDIR%\spoolsvc.exe"

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • IPC$
   • print$
   • C$\Documents and Settings\All Users\Documents\$
   • admin$
   • Admin$\system32
   • c$\windows\system32
   • c$\winnt\system32
   • c$\windows
   • c$\winnt
   • e$\shared
   • d$\shared
   • c$\shared


Emplea la siguiente información de inicio de sesión para obtener el acceso al sistema remoto:

– El siguiente listado de nombres de usuario:
   • staff; teacher; owner; student; intranet; lan; main; office; control;
      siemens; compaq; dell; cisco; ibm; oracle; sql; data; access;
      database; domain; god; backup; technical; mary; katie; kate; george;
      eric; none; guest; chris; ian; neil; lee; brian; susan; sue; sam;
      luke; peter; john; mike; bill; fred; joe; jen; bob; wwwadmin; oemuser;
      user; homeuser; home; internet; www; web; root; server; linux; unix;
      computer; adm; admin; admins; administrat; administrateur;
      administrador; administrator

– El siguiente listado de contraseñas:
   • winpass; blank; nokia; orainstall; sqlpassoainstall; db1234; db2; db1;
      databasepassword; databasepass; dbpassword; dbpass; domainpassword;
      domainpass; hello; hell; love; money; slut; bitch; fuck; exchange;
      loginpass; login; qwe; zxc; asd; qaz; win2000; winnt; winxp; win2k;
      win98; windows; oeminstall; oem; accounting; accounts; letmein; sex;
      outlook; mail; qwerty; temp123; temp; null; default; changeme; demo;
      test; 2005; 2004; 2001; secret; payday; deadline; work; 1234567890;
      123456789; 12345678; 1234567; 123456; 12345; 1234; 123; 007; pwd;
      pass; pass1234; dba; passwd; password; password1; abc



Exploit:
Emplea las siguientes brechas de seguridad:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


Ejecución remota:
–Intenta programar una ejecución remota del programa viral, en la máquina recién infectada. Por eso emplea la función NetScheduleJobAdd.

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: l33.ko0ppol.**********
Puerto: 4545
Canal: #nerds#
Apodo: %serie de caracteres aleatorios%

Servidor: a11.je34ke5.**********
Puerto: 8585
Canal: #nerds#
Apodo: %serie de caracteres aleatorios%



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Usuario actual
    • Informaciones acerca de los controladores de dispositivos
    • Espacio libre en el disco
    • Memoria disponible
    • Informaciones acerca de la red
    • Tamaño de la memoria
    • Nombre de usuario
    • Informaciones acerca del sistema operativo Windows


– Además puede efectuar las siguientes operaciones:
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Descargar fichero
    • Realizar un análisis de la red

 Robo de informaciones Intenta robar las siguientes informaciones:
– Contraseñas guardadas, empleadas por la función AutoComplete

– Las siguientes claves de CD:
   • World Of Warcraft
   • Unreal3
   • Steam
   • Conquer Online

– Las contraseñas de los siguientes programas:
   • FlashFXP
   • MSN
   • OutlookExpress

– Se inicia una rutina de creación de ficheros log después de teclear los siguientes textos:
   • paypal; cd key; cd-key; cdkey; passwort; auth; sxt; login; pw=; pass=;
      login=; password=; username=; passwd=; :auth; identify; oper;
      MailPass; pass; unknown; user

– Captura:
    • Pulsaciones de teclado

– Inicia una rutina de creación de ficheros log después de visitar un sitio web que contiene la siguiente subserie de caracteres en su URL:
   • paypal.com

– Captura:
    • Informaciones para iniciar sesión

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • cd9f82a30d4ee5d683ae1fc7575b139ab344

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Adriana Popa el lunes 12 de marzo de 2007
Descripción actualizada por Adriana Popa el viernes 16 de marzo de 2007

Volver . . . .