SoloCodigo

Informática en general => Seguridad y Criptografía => Virus => Mensaje iniciado por: RadicalEd en Lunes 21 de Febrero de 2005, 23:57

Título: Rbot.wf
Publicado por: RadicalEd en Lunes 21 de Febrero de 2005, 23:57

Peligrosidad: 3 - Media     
Difusión: Baja   Fecha de Alta:21-02-2005
Última Actualización:21-02-2005
Daño: Alto
[Explicación de los criterios]   
Dispersibilidad: Alto
Nombre completo: Worm.W32/Rbot.WF@LSASS    
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [LSASS] - Gusano que se difundiende aprovechando la vulnerabilidad de LSASS (MS04-011) que afecta a Windows 2000 y XP.
Alias:W32/Rbot-WF (Sophos)
Detalles

Este gusano se difunde explotando las siguientes vulnerabilidades:

    * DCOM (MS04-012)
    * LSASS y IIS5SSL (MS04-011)
    * WebDav (MS03-007)
    * UPNP (MS01-059)
    * Desbordamiento del buffer en ciertas versiones de DameWare (CAN-2003-1030)

Además intenta aprovecharse de:

    * Servidores Microsoft SQL con contraseñas no seguras (por defecto)
    * Agujeros abiertos por otros programas maliciosos

Al ejecutarse por primera vez, Rbot.WF se copia en la carpeta del sistema de Windows con el nombre SVCHOSTDLL.EXE y crea las siguientes entradas en el registro para activarse en el inicio del sistema:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
MSN Beta = SVCHOSTdll.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MSN Beta = SVCHOSTdll.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
MSN Beta = SVCHOSTdll.exe

El gusano estará activo en un segundo plano, lo que permite al troyano de puerta trasera acceder al equipo infectado a través de canales IRC.

Rbot.WF creará las siguientes entradas en el registro para desactivar DCOM y cerrar las restricciones en unidades IPC$:

HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM = N

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous = 1

Rbot.WF puede añadir y borrar unidades de red y usuarios en el equipo infectado.

Rbot.WF intentará terminar varios procesos como:

    * bbeagle.exe
    * d3dupdate.exe
    * i11r54n4.exe
    * irun4.exe
    * msblast.exe,
    * MSBLAST.exe
    * msconfig.exe
    * mscvb32.exe
    * navapw32.exe
    * navw32.exe
    * netstat.exe
    * PandaAVEngine.exe
    * Penis32.exe
    * rate.exe
    * regedit.exe
    * ssate.exe
    * sysinfo.exe
    * SysMonXP.exe
    * teekids.exe
    * wincfg32.exe
    * taskmon.exe
    * winsys.exe
    * winupd.exe
    * zapro.exe
    * zonealarm.exe