SoloCodigo
Informática en general => Seguridad y Criptografía => Virus => Mensaje iniciado por: RadicalEd en Miércoles 16 de Febrero de 2005, 19:09
-
Peligrosidad: 3 - Media
Difusión: Baja Fecha de Alta:16-02-2005
Última Actualización:16-02-2005
Daño: Alto
[Explicación de los criterios] Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Bropia.N@IM
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
w32
Mecanismo principal de difusión: [IM] - Se propaga mediante programas de Mensajería instantánea, como MSN Messenger o AIM
Alias:W32.Bropia.N (Symantec), WORM_BROPIA.O (Trend Micro), W32/Bropia.worm.n (McAfee)
Detalles
Instalación
Cuando se ejecuta, descarga un fichero que contiene un gusano espía que será ejecutado a continuación.
Se copia a sí mismo con alguno de los siguientes nombres y borra el fichero recien descargado:
* %System%\winis.exe
* %System%\nvsc32.exe
Nota: %System% es una variable que representa la carpeta del sistema de Windows. Por defecto será C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
Puede añadir los siguientes valores a las claves de registro indicadas, para provocar su propia ejecución junto al arranque de Windows:
Valores:
* "win-xp" = "winis.exe"
* "win-xp" = "nvsc32.exe"
Claves:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices HKEY_LOCAL_MACHINE\Software\Microsoft\OLE HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Countrol\Lsa HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ RunServices HKEY_CURRENT_USER\Software\Microsoft\OLE HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Countrol\Lsa
Propagación
Intenta enviarse a todos los contactos activos de MSN Messenger en un mensaje que contiene un enlace para la descarga del del gusano.
También es capaz de propagarse a través de IRC, recursos de red compartidos, y por los puertos abiertos por otros troyanos. También puede utilizar ciertas vulnerabilidades.
Se conecta a canales predeterminados en ciertos servidores IRC y permanece a la espera de la conexión del atacante en el puerto 6667.
Busca máquinas conectadas en la misma red e intenta acceder a los recursos compartidos utilizando una lista propia de nombres de usuario y claves. Si consigue el acceso se copia en las unidades accedidas.
Intenta hacer uso de las siguientes vulnerabilidades:
* DCOM RPC vulnerability descrita en Microsoft Security Bulletin MS03-026 utilizando el puerto TCP 135
* Local Security Authority Service Remote Buffer Overflow descrita en Microsoft Security Bulletin MS04-011
* Workstation Service Buffer Overrun Vulnerability descrita en Microsoft Security Bulletin MS03-049 utilizando el puerto TCP 445.
También es capaz de detener la ejecución de multiples programas cortafuegos y antivirus.