Worm/IRCBot.381952 - Worm

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	Worm/IRCBot.381952
Descubierto:	01/09/2006
Tipo:	Gusano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	381.952 Bytes
Suma de control MD5:	1a1f6496107b1063313aba6af99fce8e
Versión del VDF:	6.35.01.170
Versión del IVDF:	6.35.01.174

General Método de propagación:
   • Red local

Alias:
   • Mcafee: W32/Gaobot.worm.gen.e
   • TrendMicro: WORM_SDBOT.AFB
   • VirusBuster: virus Worm.IRCBot.ACM
   • Eset: Win32/IRCBot.TS trojan
   • Bitdefender: Trojan.PWS.Lineage.UG

Identificado anteriormente como:
   • TR/PSW.Lineage.aeh.1

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

Ficheros Suelta una copia suya en el sistema, escogiendo el nombre del fichero de un listado:
– Para: %SYSDIR%\ Empleando uno de los siguientes nombres:
   • Isass.exe
   • csrs.exe
   • algs.exe
   • spoolsvc.exe
   • spooIsv.exe
   • lssas.exe
   • winamp.exe
   • explorer.exe
   • iexplore.exe
   • firewall.exe
   • logon.exe

Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Local Security Authority Service = %SYSDIR%\Isass.exe
   • Client Server Runtime Process = %SYSDIR%\csrs.exe
   • Application Layer Gateway Service = %SYSDIR%\algs.exe
   • Spooler SubSystem App = %SYSDIR%\spoolsvc.exe
   • Spooler SubSystem App = %SYSDIR%\spooIsv.exe
   • Local Security Authority Service = %SYSDIR%\lssas.exe
   • Winamp Agent = %SYSDIR%\winamp.exe
   • Windows Explorer = %SYSDIR%\explorer.exe
   • Microsoft Internet Explorer = %SYSDIR%\iexplore.exe
   • Windows Network Firewall = %SYSDIR%\firewall.exe
   • Windows Logon Application = %SYSDIR%\logon.exe

Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • IPC$
   • C$\Documents and Settings\All Users\Documents\
   • C$\shared
   • C$\windows\system32
   • C$\windows
   • e$\shared
   • d$\shared
   • c$\winnt
   • c$\winnt\system32
   • ADMIN$\system32\
   • ADMIN$
   • print$

Emplea la siguiente información de inicio de sesión para obtener el acceso al sistema remoto:

– Un listado de nombres de usuario y contraseñas:
   • winpass; blank; nokia; orainstall; sqlpassoainstall; db1234; db2; db1;
      databasepassword; databasepass; dbpassword; dbpass; domainpassword;
      domainpass; hello; hell; love; money; slut; bitch; fuck; exchange;
      loginpass; login; qwe; zxc; asd; qaz; win2000; winnt; winxp; win2k;
      win98; windows; oeminstall; oem; accounting; accounts; letmein; sex;
      outlook; mail; qwerty; temp123; temp; null; default; changeme; demo;
      test; 2005; 2004; 2001; secret; payday; deadline; work; 1234567890;
      123456789; 12345678; 1234567; 123456; 12345; 1234; 123; 007; pwd;
      pass; pass1234; dba; passwd; password; password1; abc; staff; teacher;
      owner; student; intranet; lan; main; office; control; siemens; compaq;
      dell; cisco; ibm; oracle; sql; data; access; database; domain; god;
      backup; technical; mary; katie; kate; george; eric; none; guest;
      chris; ian; neil; lee; brian; susan; sue; sam; luke; peter; john;
      mike; bill; fred; joe; jen; bob; wwwadmin; oemuser; user; homeuser;
      home; internet; www; web; root; server; linux; unix; computer; adm;
      admin; admins; administrat; administrateur; administrador;
      administrator

Exploit:
Emplea las siguientes brechas de seguridad:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)
–Intenta programar una ejecución remota del programa viral, en la máquina recién infectada. Por eso emplea la función NetScheduleJobAdd.

IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: l33.ko0P**********
Puerto: 8585
Canal: #nerds#
Apodo: %serie de caracteres aleatorios%

Servidor: a11.je34**********
Puerto: 8585
Canal: #nerds#
Apodo: %serie de caracteres aleatorios% %serie de caracteres aleatorios%

– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Usuario actual
    • Espacio libre en el disco
    • Memoria disponible
    • Informaciones acerca de la red
    • Informaciones acerca de los procesos del sistema
    • Tamaño de la memoria
    • Nombre de usuario
    • Informaciones acerca del sistema operativo Windows

– Además puede efectuar las siguientes operaciones:
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Descargar fichero
    • Ejecutar fichero
    • Terminar proceso
    • Realizar un análisis de la red
    • Iniciar la captura de pulsaciones de teclado
    • Iniciar la rutina de propagación

Robo de informaciones Intenta robar las siguientes informaciones:
– Contraseñas tipeadas en los campos de contraseñas
– Contraseñas guardadas, empleadas por la función AutoComplete

– Las siguientes claves de CD:
   • Unreal
   • Steam
   • World Of Warcraft
   • Conquer Online

– Las contraseñas de los siguientes programas:
   • FlashFXP
   • MSN
   • Outlook

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Wed, 20 Sep 2006 13:02 (GMT+1)
Descripción actualizada por Andrei Gherman el Wed, 20 Sep 2006 14:06 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver