Nombre:Worm/IrcBot.ljo
Descubierto:08/07/2010
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:29.696 Bytes
Suma de control MD5:893d489a899af1d559eefaca63ea01b9
Versión del IVDF:7.10.09.47 - jueves 8 de julio de 2010

 General Métodos de propagación:
   • Función de autoejecución
   • Red local


Alias:
   •  Sophos: Mal/IRCBot-B
   •  Bitdefender: Backdoor.SDBot.DGFQ
   •  Eset: Win32/AutoRun.IRCBot.FC


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Posibilita el acceso no autorizado al ordenador
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %disquetera%\autorunme.exe
   • %SYSDIR%\lunchers.exe



Crea el siguiente fichero:

%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %código que ejecuta malware%

 Registro Añade la siguiente clave al registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
   • "systemxstuff"="%ficheros ejecutados%"

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Exploit:
Emplea las siguientes brechas de seguridad:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS04-007 (ASN.1 Vulnerability)
– MS06-040 (Vulnerability in Server Service)


Creación de direcciones IP:
Crea direcciones IP aleatorias y guarda los primeros dos octetos de su propia dirección. Luego intenta establecer una conexión con las direcciones generadas.


Ejecución remota:
–Intenta programar una ejecución remota del programa viral, en la máquina recién infectada. Por eso emplea la función NetScheduleJobAdd.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: wff.wel**********.info
Puerto: 7000
Canal: #tv#
Apodo: [00|USA|XP|%número%]

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el martes 10 de agosto de 2010
Descripción actualizada por Petre Galan el martes 10 de agosto de 2010

Volver . . . .