• Sábado 21 de Diciembre de 2024, 15:25

Autor Tema:  Bropia.n  (Leído 1167 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Bropia.n
« en: Miércoles 16 de Febrero de 2005, 19:09 »
0
Peligrosidad: 3 - Media     
Difusión: Baja   Fecha de Alta:16-02-2005
Última Actualización:16-02-2005
Daño: Alto
[Explicación de los criterios]   Dispersibilidad:      Alto
Nombre completo: Worm-Backdoor.W32/Bropia.N@IM    
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
w32
Mecanismo principal de difusión: [IM] - Se propaga mediante programas de Mensajería instantánea, como MSN Messenger o AIM
Alias:W32.Bropia.N (Symantec), WORM_BROPIA.O (Trend Micro), W32/Bropia.worm.n (McAfee)
Detalles

Instalación

Cuando se ejecuta, descarga un fichero que contiene un gusano espía que será ejecutado a continuación.

Se copia a sí mismo con alguno de los siguientes nombres y borra el fichero recien descargado:

    * %System%\winis.exe
    * %System%\nvsc32.exe

Nota: %System% es una variable que representa la carpeta del sistema de Windows. Por defecto será C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

Puede añadir los siguientes valores a las claves de registro indicadas, para provocar su propia ejecución junto al arranque de Windows:

Valores:

    * "win-xp" = "winis.exe"
    * "win-xp" = "nvsc32.exe"

Claves:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices HKEY_LOCAL_MACHINE\Software\Microsoft\OLE HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Countrol\Lsa HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ RunServices HKEY_CURRENT_USER\Software\Microsoft\OLE HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Countrol\Lsa


Propagación

Intenta enviarse a todos los contactos activos de MSN Messenger en un mensaje que contiene un enlace para la descarga del del gusano.

También es capaz de propagarse a través de IRC, recursos de red compartidos, y por los puertos abiertos por otros troyanos. También puede utilizar ciertas vulnerabilidades.

Se conecta a canales predeterminados en ciertos servidores IRC y permanece a la espera de la conexión del atacante en el puerto 6667.

Busca máquinas conectadas en la misma red e intenta acceder a los recursos compartidos utilizando una lista propia de nombres de usuario y claves. Si consigue el acceso se copia en las unidades accedidas.

Intenta hacer uso de las siguientes vulnerabilidades:

* DCOM RPC vulnerability descrita en Microsoft Security Bulletin MS03-026 utilizando el puerto TCP 135
* Local Security Authority Service Remote Buffer Overflow descrita en Microsoft Security Bulletin MS04-011
* Workstation Service Buffer Overrun Vulnerability descrita en Microsoft Security Bulletin MS03-049 utilizando el puerto TCP 445.

También es capaz de detener la ejecución de multiples programas cortafuegos y antivirus.
El pasado son solo recuerdos, el futuro son solo sueños