Nombre:Worm/Irc.937984.A.1
Descubierto:16/04/2008
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio
Potencial dañino:Medio-alto
Fichero estático:
Tamaño:937.984 Bytes
Suma de control MD5:0fdbc5a72182e58ea1211c2d5c57ca77
Versión del IVDF:7.00.03.175 - miércoles 16 de abril de 2008

 General Método de propagación:
   • Red local


Alias:
   •  Mcafee: W32/Sdbot.worm virus
   •  Sophos: W32/Rbot-GVM
   •  Panda: W32/IRCbot.BLI.worm
   •  Eset: Win32/Rbot
   •  Bitdefender: Trojan.Generic.2268503


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\svehost.exe



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

%SYSDIR%\drivers\npf.sys
%SYSDIR%\packet.dll
%SYSDIR%\wpcap.dll

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Microsoft Updates"="svehost.exe"



Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Updates"="svehost.exe"



Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\NPF]
   • "DisplayName"="Netgroup Packet Filter"
   • "ErrorControl"=dword:0x00000001
   • "ImagePath"="system32\drivers\npf.sys"
   • "Start"=dword:0x00000003
   • "Type"=dword:0x00000001



Añade la siguiente clave al registro:

– [HKCU\Software\Microsoft\OLE]
   • "Microsoft Updates"="svehost.exe"



Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Ole]
   Nuevo valor:
   • "EnableDCOM"="N"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Nuevo valor:
   • "restrictanonymous"=dword:0x00000001

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Emplea la siguiente información de inicio de sesión para obtener el acceso al sistema remoto:

– El siguiente listado de nombres de usuario:
   • Zytowski; Zwiers; Zurn; Zucconi; Zoldak; Zerbini; Zegans; Zangwill;
      Zahedi; Zachary; Yu; Youk-See; Yoo; Yoffe; Yetiv; Yesson; Yedidia;
      Ybarra; Yates; Yarchuk; Yankee; Yamane; Yacono; Votey; Vorhaus;
      Woods-Powell; Woods; Wooden; Woo; VonHoffman; Wolk; Voigt; Viviani;
      Vitali; Wilson; Willstatter; Villarreal; Wilkinson; Wilkin; Wilk;
      Wilhelm; Wilder; Vignola; Viens; Wiener; Wiedersheim; Viano; Viana;
      Whittaker; Whitla; White; Whilton; Whately; Wetzel; Wescott; Verghese;
      Venne; Wengret; Welsh; Welles; Velasquez; Weissman; Weissbourd;
      Weinhaus; Weingarten; Weighart; Waugh; Vasquez; Wasowska; Warshafsky;
      Vanheeckeren; Vandenberg; VanZwet; vanAllen; Walter; Wallenberg;
      Wales; Valencia; Valberg; Waite; Vacca; Uzuner; Usdan; Urdang-Brown;
      Urban; Upsdell; Untermeyer; Ullman; Tzamarias; Twells; Tuttle; Turek;
      Turano; Tukan; Tudge; Tuck; Tsukurov; Tsomides; Tsiatis; Truss; Troy;
      Troiani; Tringali; Trewin; Trenga; Traebert; Toye; Towler; Torske;
      Torresi; Topulos; Toomer; Tomford; Tolman; Tolls; Tollestrup;
      Tofallis; Timmons; Till; Tierney; Throop; Thomsen; Thisted; Thibault;
      Theodos; Thavaneswaran; Than; Terracini; Tenney; Temmer; Temes;
      Teague; Tcherepnin; Tawn; Taveras; Tatar; Tanowitz; Tandler; Tambiah;
      Talaugon; Tai; Tagiuri; Swindle; Sweetser; Sweeting; Surdam; Suo;
      Sumner; Sullivan; Stringer; Streiff; Strauch; Strange; Stott; Storer;
      Stonich; Stolzenberg; Stockwell; Stockton; Stock; Stillwell; Stiepock;
      Stewart-Oaten; Stepniewska; Stephanian; Steiner; Stefani; Statlender;
      States; Stassinopolus; Stang; Stam; Stalvey; StMartin; Spinrad;
      Spiliotis; Spiegelhalter; Spicer; Sperber; Spence; Speizer; Spaulding;
      Sparrow; Spanier; Soultanian; Soule; Soukup; Sottak; Sorg; Sorabella;
      Sommariva; Somers; Solon; Socolow; Snodgrass; Sniffen; Smilow; Slowe;
      Sloan; Skoda; Skerry; Skane; Sites; Sirilli; Sinsabaugh; Silvetti;
      Silverman; Signa; Sigini; Sigalot; Siesto; Shimon; Shibata; Shia;
      Shesko; Shepstone; Sheppard; Shepherd; Sheats; Shea; Shavelson;
      Shatrov; Shar; Shanley; Shankland; Shakis; Shaikh; Seyfert; Sexton;
      Seterdahl; Sennett; Sen; Selvage; Sekler; Segal; Seeber; Seaton;
      Scudder; Scovel; Schwickrath; Schwan; Schuyler; Schutte; Schuman;
      Schossberger; Schmitt; Schilling; Schifini; Schiano; Scheiner;
      Scharlemann; Scharf; Scepan; Scarponi; Sayied; Sawtell; Satterthwaite;
      Satta; Satin; Sase; Sartore; Sarin; Sapers; Sanna; Sanchez-Ramirez;
      Samson; Sali; Sahu; Safire; Sadler; Sabatello; Ryu; Rush; Ruescher;
      Ruderman; Ruan; Ru; Royal; Row; Ronen; Rogers; Roesler; Rocha;
      Robinson; Rivera; Rish; Rineer; Rindos; Rielly; Richmond; Rhea;
      Resnik; Repetto; Renick; Remak; Reinold; Cunningham; Reedquist;
      Redden-Tyler; Rayport; Rapple; Rankin; Rangan; Raney; Rajagopalan;
      Radeke; Rabkin; Rabe; Quetin; Quaday; Pynchon; Pugh; Puccia;
      Prothrow-Stith; Proietti; Pritz; Pritchard; Prevost; Preucel; Presper;
      Powers; Poolman; Poma; Politis; Polanyi; Polak; Poirier; Pointer;
      Poincaire; Pocobene; Po; Plous; Plasket; Plant; Plancon; Pinot;
      Pilbeam; Pfister; Pettit; Pettibone; Petruzello; Peters; Perrimon;
      Perone; Perna; Perlman; Perlak; Perko; Pereira; Penny; Peishel;
      Pederson; Pearlberg; Peabody; Paynter; Pawloski; Pavlon; Pavetti;
      Pattullo; Patrick; Patefield; Pascucci; Partridge; Parris;
      Parmeggiani; Paoletti; Pantilla; Panizzon; Panadero; Palmitesta;
      Pallara; Palepu; Palayoor; Paine; PaesDealmeida; Ovid; Ouchida; Otten;
      Ottaviani; Ostrowski; Ospina; Orsi; Orfield; Oray; Opel; O'meara;
      Oman; O'malley; Olszewski; Olson; Olsen; Oldford; O'hagan; Oh; Ogata;
      Ocougne; Nuzum; Notman; Nitabach; Nisenson; Nickoloff; Nickerson; Ni;
      Ng; Newlin; Newfeld; Neuman; Nesci; Nenna; Nelson; Nayduch; Naviaux;
      Nardone; Nardi; Napolitano; Naddeo; Mussachio; Mumford; Mulroy;
      Mulkern; Mugnai; Muello; Mudarri; Motooka; Mostafavi; Mosler; Mosher;
      Mortimer; Morrow; Morrison; Moreton; Morani; MooreDeCh.; Montilio;
      Monque; Moiamedi; Mohr; Moeller; Modestino; Mocroft; Mittal;
      Mitropoulos; Gonzalez; Minichiello; Mini; Minh; Mills; Mieher; Middle;
      Michelman; Meurer; Metropolis; Metelka; Merz; Merseth; Merminod;
      Merlani; Merikoski; Menzies; Memisoglu; Meccariello; Mcnulty; Mcnealy;
      Mclaren; Mclane; Mckenna; Mcintosh; McIlroy; Mcgoldrick; Mcghee;
      McFadden; Mcelroy; Mcdowell; Mcclearn; Mccall; Mccaffery; Mcbride;
      Mazziotta; Mazzali; May; Mauzy; Mattson; Matsukata; Matarazzo;
      Matalka; Mass; Marubini; Marton; Martochio; Martinez; Marques;
      Margetts; Margalit; Marcus; Marchbanks; March; Mantovan; Manganiello;
      Mandel; Manalis; Malova; Maller; Malatesta; Maisano; Maine-Hershey;
      Maier; Mahony; Maggio; Madigan; Macy; MacMillan; Mackenney; Macintyre;
      Maceachern; Macdonald; Maccormac; Ma; Luzader; Lutcavage; Lussier;
      Luoma; Lunetta; Luecke; Luczkow; Luciano; Lucas; Lubin; Loza;
      Lowenstein; Loveman; Loss; Longworth; Locatelli; Lizardo; Livolsi;
      Livi; Livernash; Litvak; Little; Lipponen; Lippmann; Linzee; Linehan;
      Line; Linder; Linda; Linares; Lim; Lightfoot; Light; Liem; Lidano;
      Liakos; Lessi; Lesser; l'Enclos; Lenard; Leite; Leclercq; Lecce;
      Lecar; Lawless; Lashley; Laserna; Lanzit; Lantieri; Lankes; Landes;
      Lallemant; Laing; Lafler; Labunka; La; Kuwabara; Kusman; Kumar;
      Kuenzli; Krysiak; Kroemer; Kraus; Krasney; Krailo; Kraemer; Kovaks;
      Kotter; Korzybski; Kool; Konrad; Koniaris; Kommer; Koivumaki; Kohn;
      Koch; Kobrick; Knuff; Klint; Klinkenborg; Kling; Klemperer;
      Kleinfelder; Kleiman; Kleckner; Kittridge; Kirscht; Kippenberger;
      Kinsley; Kindall; Kimura; Kimmett; Kimmel; Khong; Keul; Kerry;
      Kendall; Kemsley; Kempton; Kelsey; Kelker; Keith; Keepper; Keenan;
      Kee; Kawachi; Kasten; Kassower; Karpouzes; Kangis; Kamel; Kalman;
      Kalinowski; Kalil; Kaligian; Kalbfleisch; Kafadar; Kaboolian; Kabbash;
      Julious; Juliano; Jucks; Jorgensen; Jolly; Johns; Johannsen;
      Johannesson; Jewett; Jespersen; Jenkins; Jellis; Jeffers; Jay;
      Jarrell; Jarnagin; Janjigian; Jamil; Jain; Jagoe; Jagger; Jagers;
      Jackson; Jacenko; Iyer; Isserman; Isbill; Isaievych; Isaac; Inniss;
      Inamura; Igarashi; Ichikawa; Iaquinta; Hyde; Hutchings; Hurtubise;
      Hupp; Huntington; Hungerford; Huidekoper; Huey; Hoy; Howard; Hottle;
      Hostage; Hoshida; Horsley; Hopkins; Hooker; Holzman; Holway; Holter;
      Holoien; Holmes; Hokoda; Hokanson; Hoffman; Hoffer; Hock; Hoang;
      Hitchcock; Hirst; Hind; Himmelfarb; Heyeck; Heubert; Hester; Herrera;
      Hernandez; Henrichs; Henery; Hemphill; Helprin; Hellmiss; Hellman;
      Heiland; Heft; Heermans; Hazlewood; Haynes; Hayes; Hawkes; Haviaras;
      Harwell; Hartnett; Hartmann; Hartman; Harrigan; Harlow; Hargraves;
      Harding; Hanssen; Hand; Hammerness; Hamer; Hambarzumjan; Halpert;
      Hallowell; Halkias; Haley; Hackshaw; Hackman; Haar; Ha; Guo; Gunn;
      Guenthart; Gruppe; Gruner; Grummell; Grigoletto; Griffiths; Greenfeld;
      Greenberg; Gravell; Gozzi; Goody; Goodearl; Good; Goncalves; Goldfarb;
      Glendon; Glegg; Gleason; Gist; Gillispie; Gill; Gili; Gilbert; Gibson;
      Gibbens; Ghorai; Gerrett; Georgi; Gemberling; Geller; Garonna; Garman;
      Garfield; Gambini; Galwey; Galeotti; Gaggiotti; Gabrielli; Fusaro;
      Furth; Fuller; Fujii-Abe; Frye; Fryberger; Frowiss; Frisken;
      Friedland; Fried; Freundlich; Freid; Frazier-Davis; Franz;
      Franklin-Kenea; Francisco; Fossi; Fossey; Fortier; Fortes; Forester;
      Folks; Flores; Flier; Fitzmaurice; Fisk; Fiorina; Finnegan;
      Finkelstein; Fink; Field; Fido; Feuer; Ferriell; Ferrante; Fernandes;
      Fernald; Feldman; Fejzo; Feigenbaum; Fates; Fasso'; Farren; Farone;
      Faris; Falorsi; Falco-Acosta; Faioes; Fagan; Fabbris; Everett;
      Euripides; Etter; Estes; Espinoza; Erez; Erdos; Erdman; Erbach;
      Eppling; Enyeart; Encinas; Elvis; Elmerick; Elmendorf; Eliasson;
      Eickenhorst; Edward; Edner; Edley; Eckel; Ebeling; Eardley; Dwyer;
      Dussault; Durrett; Duffin; D'souza; Drinker; Dowsland; Doug; Doty;
      Dosi; Dorf; Dore; Doonan; Donner; Donahue; Doherty; Dockery; Dirksen;
      Dionysius; Dilworth; Difronzo; Difabio; Diefenbach; Dicks; D'fini;
      Deutsch; Desombre; Denison; Denham; Denault; Demusz; Dempster; Deming;
      Dell'acqua; Delger; Deleon-Rendon; Delattre; Defeciani; Dees; Debroff;
      deRousse; del'Enclos; DeLaPena; DeGennaro; Dawkins; David; Daskalu;
      Dasgupta; Das; D'arcangelo; Dapice; Dante; Danieli; D'Ambra; Daly;
      Daldalian; daSilva; Cyders; Cvek; Cutler; Currier; Cui; Croxton;
      Croxen; Croshaw; Crocker; Crawford; Coutaux; Counter; Cosmides;
      Cornish; Corey; Connors; Condodina; Concino; Comstock; Compton;
      Collis; Collard; Colella; Coldren; Coito; Coblenz; Clow; Clifton;
      Clement; Clark; Clancy; Claffey; Cifarelli; Cicero; Ciampaglia;
      Church; Chupasko; Chu; Christopher; Christie; Christiano; Christian;
      Christenson; Chinman; Chinipardaz; Childs; Childress; Chien;
      Chiassino; Chervinsky; Cherry; Cheang; Charles; Chapman; Cerioli;
      Ceniceros; Cavell; Cavanagh; Castelda; Caspar; Case; Cascio; Cartmill;
      Carper; Caroti; Carmichael; Carlyle; Carlos; Carlin; Carayannopoulos;
      Caratozzolo; Capursi; Cappuccio; Capodilupo; Capocaccia; Caperton;
      Capanni; Canley; Cammilleri; Cammelli; Calnan; Cage; Byrd; Byerly;
      Byatt; Busetta; Burridge; Burke; Burdzy; Burden; Bunton; Bullard;
      Budding; Buchan; Brzycki; Brook; Broca; Britz; Brinton; Bridges;
      Bridgeman; Brewer; Brennan; Brenan; Breed; Brecht; Bradach; Bradac;
      Bracalente; Boyne; Boym; Boyland; Boyes; Boyajian; Boxer; Bowers;
      Bourneuf; Boudrot; Boudin; Botosh; Bothman; Bossi; Borden; Borack;
      Boorstin; Boone; Bookbinder; Book; Bontempo; Boniface; Bonham; Boner;
      Bologna; Bollinger; Bolick; Bolger; Blyth; Bloxham; Bloemhof;
      Bloembergen; Bloch; Blizard; Bliss; Blanke; Blakemore; Blagg;
      Blackwell; Blackbourn; Bisho; Bisema; Bir; Binion; Bickel; Biagioli;
      Beynart; Betti; Berrizbeitia; Bernston; Bernassola; Bernardo;
      Berke-Jenkins; Bergson; Benedict-Dye; Belloc; Bellini; Bellhouse;
      Bellavance; Belin-Collart; Belfer; Belaoussof; Belanger; Behenna;
      Bedford; Beder; Beckman; Bean; Beal; Beacon; Bayo; Bayles; Baumiller;
      Batchelder; Bashevis; Basavappa; Bartoo; Bartolome; Bartholomew;
      Barry; Barriola; Barnett; Barneson; Barbetti; Barberi; Baranowska;
      Baranczak; Barajas; Barabesi; Banta; Baltz; Ballew; Ballatori; Baleja;
      Bakanowsky; Bailar; Bagnold; Baglivo; Bady; Backus; Bachmuth; Azima;
      Ayling; Aykroyd; Ayiemba; Axworthy; Axelrod; Aurelius; Augustus;
      Atkins; Arky; Arjas; Aristotle; Arellano; Arduini; Arbia; Antos;
      Anthony; Ansley; Anfinrud; Andron; Andrelus; Ando; Andel; Anand;
      Amsden; Ameer; Amatangelo; Amaral; Altenhofen; Altenberger; Altavilla;
      Alongi; Allison; Aleks; Alda; Alcorn; Alavi; Ahlers; Adorno; Adibe;
      Adelstein; Addison; Adams; Ackerman; Abdulrazak

– El siguiente listado de contraseñas:
   • intranet; lan; main; winpass; blank; office; control; xp; nokia; hp;
      siemens; compaq; dell; cisco; ibm; orainstall; sqlpassoainstall; sql;
      sa; db1234; db1; databasepassword; data; databasepass; dbpassword;
      dbpass; access; domainpassword; domainpass; domain; hello; hell; god;
      sex; slut; bitch; fuck; exchange; backup; technical; loginpass; mary;
      katie; kate; george; eric; chris; ian; neil; lee; brian; susan; sue;
      sam; luke; peter; john; mike; bill; fred; joe; jen; bob; qwe; zxc;
      asd; qaz; win2000; winnt; winxp; win2k; win98; windows; oeminstall;
      oemuser; oem; homeuser; home; accounting; accounts; internet; www;
      web; outlook; mail; qwerty; null; changeme; linux; unix; demo; none;
      test; 2004; 2003; 2002; 2001; 2000; 1234567890; 123456789; 12345678;
      1234567; 123456; 12345; 1234; 123; 12; 007; pwd; pass; pass1234;
      passwd; password1; adm; db2; oracle; dba; database; default; guest;
      wwwadmin; teacher; student; owner; computer; root; staff; admin;
      admins; administrat; administrateur; administrador; administrator



Exploit:
Emplea las siguientes brechas de seguridad:
– MS01-059 (Unchecked Buffer in Universal Plug and Play)
– MS04-011 (LSASS Vulnerability)


Ejecución remota:
–Intenta programar una ejecución remota del programa viral, en la máquina recién infectada. Por eso emplea la función NetScheduleJobAdd.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: mail.purpl**********.com
Puerto: 80
Canal: #test%número%
Apodo: USA|%número%



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Captura de pantalla
    • Captura de imagen de la webcam
    • Espacio libre en el disco
    • Memoria disponible
    • Informaciones acerca de los procesos del sistema


– Además puede efectuar las siguientes operaciones:
    • conectarse al servidor IRC
    • Iniciar ataques DDoS por desbordamiento de ICMP
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Iniciar ataques DDoS por desbordamiento de TCP
    • Iniciar ataques DDoS por desbordamiento de UDP
    • Descargar fichero
    • Ejecutar fichero
    • Terminar proceso
    • Abrir remote shell
    • Realizar un análisis de la red
    • Reiniciar sistema
    • Enviar mensajes de correo
    • Apagar sistema
    • Iniciar la captura de pulsaciones de teclado
    • Se actualiza solo

 Backdoor (Puerta trasera) Abre los siguientes puertos:

%SYSDIR%\svehost.exe en el puerto TCP 80 para funcionar como servidor HTTP.
%SYSDIR%\svehost.exe en el puerto TCP 21 para funcionar como servidor TFTP.

Envía informaciones acerca de:
    • Nombre del ordenador
    • Velocidad del procesador
    • Tipo del procesador
    • Usuario actual
    • El tipo de conexión a Internet
    • Dirección IP
    • Dirección MAC
    • Tiempo de trabajo del programa viral
    • Carpeta de sistema
    • Hora del sistema
    • Nombre de usuario
    • Carpeta Windows
    • Informaciones acerca del sistema operativo Windows


Capabilidades de control remoto:
    • Desactivar DCOM
    • Desactivar la opción de compartir recursos en la red
    • Activar DCOM
    • Activar la opción para compartir recursos en la red

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el martes 24 de noviembre de 2009
Descripción actualizada por Petre Galan el martes 24 de noviembre de 2009

Volver . . . .