Worm/Wootbot.69120 - Worm

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	Worm/Wootbot.69120
Descubierto:	27/02/2006
Tipo:	Gusano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	69.120 Bytes
Suma de control MD5:	9c45675530bcdb29c236e8e552a21861
Versión del VDF:	6.33.01.33

General Método de propagación:
   • Red local

Alias:
   • TrendMicro: WORM_AGOBOT.BAV
   • Bitdefender: Backdoor.SDBot.801370DB

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %SYSDIR%\winlogins.exe

Elimina la copia inicial del virus.

Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Windows Logon Autorun = winlogins.exe

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
   • Windows Logon Autorun = winlogins.exe

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Windows Logon Autorun = winlogins.exe

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   • Windows Logon Autorun = winlogins.exe

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • Windows Logon Autorun = winlogins.exe

Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\win]
   • Type = dword:00000020
   • Start = dword:00000004
   • ErrorControl = dword:00000001
   • ImagePath = "%SYSDIR%\winlogins.exe" -netsvcs
   • DisplayName = Windows Logon Autorun
   • ObjectName = LocalSystem
   • FailureActions = %valores hex%
   • DeleteFlag = dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\win\Security]
   • Security = %valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\win\Enum]
   • 0 = Root\\LEGACY_WIN\\0000
   • Count = dword:00000001
   • NextInstance = dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN]
   • NextInstance = dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN\0000]
   • Service = win
   • Legacy = dword:00000001
   • ConfigFlags = dword:00000000
   • Class = LegacyDriver
   • ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
   • DeviceDesc = Windows Logon Autorun

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN\0000\Control]
   • *NewlyCreated* = dword:00000000
   • ActiveService = win

Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Exploit:
Emplea las siguientes brechas de seguridad:
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

Proceso de infección:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicación remota.

IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: kocka.my**********
Puerto: 6660
Contraseña del servidor: H4xThisSite
Canal: #forbot
Apodo: ATF-%serie de caracteres aleatorios%
Contraseña: ForBotASNPnP

– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Memoria disponible
    • Tiempo de trabajo del programa viral
    • Tamaño de la memoria
    • Nombre de usuario
    • Informaciones acerca del sistema operativo Windows

– Además puede efectuar las siguientes operaciones:
    • Iniciar ataques DDoS por desbordamiento de ICMP
    • Iniciar ataques DDoS por desbordamiento de UDP
    • Desactivar la opción de compartir recursos en la red
    • Descargar fichero
    • Editar el registro del sistema
    • Activar la opción para compartir recursos en la red
    • Ejecutar fichero
    • Realizar un análisis de la red
    • Registrar un servicio
    • Reiniciar sistema
    • Apagar sistema
    • Iniciar la rutina de propagación

Backdoor (Puerta trasera) Abre el siguiente puerto:

– winlogins.exe en un puerto TCP aleatorio para funcionar como servidor FTP.

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• NSPack

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Tue, 28 Feb 2006 15:10 (GMT+1)
Descripción actualizada por Andrei Gherman el Tue, 28 Feb 2006 15:46 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back