SoloCodigo

Informática en general => Seguridad y Criptografía => Virus => Mensaje iniciado por: RadicalEd en Jueves 22 de Septiembre de 2005, 17:23

Título: Ritdoor@p2p+smb
Publicado por: RadicalEd en Jueves 22 de Septiembre de 2005, 17:23

Peligrosidad: 3 - Media     
Difusión: Baja   
Fecha de Alta:22-09-2005
Última Actualización:22-09-2005
Daño: Alto
[Explicación de los criterios]   
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Ritdoor@P2P+SMB    
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [P2P+SMB] - Se propaga por redes P2P y recursos compartidos.
Tamaño (bytes): 37376
Alias:WORM_RITDOOR.A (Trend Micro)
Detalles

Instalación y técnica de autoarranque
Cuando Worm-Backdoor.W32/Ritdoor@P2P+SMB es ejecutado, deja copias de sí mismo en el directorio de instalación de Windows con los siguientes nombres de fichero:

    * msdefr.exe
    * nb32ext4.exe
    * services.exe

Además, deja los siguientes componentes en el directorio del sistema de Windows:

    * FTP.SCR
    * QWE.BAT

El gusano utiliza el fichero FTP.SCR para descargar y guardar una copia de sí mismo en el directorio del sistema de Windows con el nombre WS2LIB.EXE.
Por su parte, el fichero QWE.BAT ejecuta la anterior copia del gusano.

Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade los valores indicados a las siguientes claves del registro de Windows:

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor: RPCserv32g = "%Windows%\services.exe"

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Valor: helloworld3 = "nb32ext4.exe"

Nota: %Windows% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows o C:\Winnt.

También modifica las siguientes entradas del registro como parte de su rutina de instalación:
- en Windows NT -

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Valor: Userinit = "%System%\userinit.exe,%Windows%\services.exe,"

Notas:

    * El valor por defecto de la entrada anterior es "userinit,nddeagnt.exe".
    * %System% es una variable que hace referencia al directorio del sistema de Windows.
      Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

- en Windows 2000/ XP/ Server 2003 -

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon
Valor: Userinit = "%System%\userinit.exe,%Windows%\services.exe,"

Nota: El valor por defecto de la entrada anterior es "%System%\userinit.exe,".

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
Valor: Start = "4"    (- valor por defecto "00000003" -)

Además, añade las siguientes entradas al registro de Windows:

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
          \Parameters\FirewallPolicy
Valor: Enable Firewall = "0"

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
          \FirewallPolicy\StandardProfile
Valor: Enable Firewall = "0"

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
          \FirewallPolicy\DomainProfile
Valor: Enable Firewall = "0"

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
          \FirewallPolicy\DomainProfile\AuthorizedApplications\List
Valor: {- ruta del gusano -} = ?{- ruta del gusano -}:*.Enabled{- nombre del gusano -}?

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
          \FirewallPolicy\StandardProfile\AuthorizedApplications\List
Valor: {- ruta del gusano -} = ?{- ruta del gusano -}:*.Enabled{- nombre del gusano -}?

Clave: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
Valor: IEPsdgxc = "0"

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
Valor: DisableRegistryTools = "0"

Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
Valor: DisableRegistryTools = "0"

Propagación por la red y vulnerabilidades
Worm-Backdoor.W32/Ritdoor@P2P+SMB se propaga mediante una copia de sí mismo dejada en el directorio compartido IPC$.

Además, aprovecha las siguientes vulnerabilidades de Windows para propagarse a través de la red:

    * RPCSS vulnerability
    * Windows LSASS vulnerability

Más información sobre las vulnerabilidades anteriores y acceso a su parche corrector en:

    * RPCSS ~ Microsoft Security Bulletin MS03-039.
    * LSASS ~ Microsoft Security Bulletin MS04-011.

Propagación a través de redes de intercambio de ficheros (P2P)
Este gusano deja copias de sí mismo en el directorio de intercambio de ficheros de la aplicación eMule.

Capacidad de puerta trasera
Worm-Backdoor.W32/Ritdoor@P2P+SMB también posee capacidad para actuar como puerta trasera. Abre un puerto aleatorio en la máquina afectada, se conecta al servidor IRC irc.blackcarder.net.
Seguidamente se conecta al canal #skyelite, desde el que puede recibir los siguientes comandos procedentes de un atacante remoto:

    * Descarga / Ejecución de ficheros.
    * Obtiene la versión del gusano.
    * Se elimina / actualiza / detiene a sí mismo.

Modificación del fichero HOSTS
Este gusano modifica el fichero del sistema HOSTS (normalmente ubicado en %System%\drivers\etc\), y que contiene la resolución de direcciones IP y nombres de equipos.

Añade las siguientes lineas al fichero (precedidas por 127.0.0.1) para impedir el acceso a las siguientes direcciones, muchas de ellas pertenecientes a empresas antivirus:

    * avp.com
    * ca.com
    * customer.symantec.com
    * dispatch.mcafee.com
    * download.mcafee.com
    * downloads-eu1.kaspersky-labs.com
    * downloads-us1.kaspersky-labs.com
    * downloads1.kaspersky-labs.com
    * downloads2.kaspersky-labs.com
    * downloads3.kaspersky-labs.com
    * downloads4.kaspersky-labs.com
    * f-secure.com
    * kaspersky-labs.com
    * kaspersky.com
    * liveupdate.symantec.com
    * liveupdate.symantecliveupdate.com
    * mast.mcafee.com
    * mcafee.com
    * microsoft.com
    * my-etrust.com
    * nai.com
    * networkassociates.com
    * oxyd.fr
    * pandasoftware.com
    * rads.mcafee.com
    * secure.nai.com
    * securityresponse.symantec.com
    * sophos.com
    * symantec.com
    * t35.com
    * t35.net
    * trendmicro.com
    * update.symantec.com
    * updates.symantec.com
    * us.mcafee.com
    * viruslist.com
    * virustotal.com
    * www.avp.com (http://www.avp.com)
    * www.ca.com (http://www.ca.com)
    * www.f-secure.com (http://www.f-secure.com)
    * www.grisoft.com (http://www.grisoft.com)
    * www.kaspersky.com (http://www.kaspersky.com)
    * www.mcafee.com (http://www.mcafee.com)
    * www.microsoft.com (http://www.microsoft.com)
    * www.my-etrust.com (http://www.my-etrust.com)
    * www.nai.com (http://www.nai.com)
    * www.networkassociates.com (http://www.networkassociates.com)
    * www.oxyd.fr (http://www.oxyd.fr)
    * www.pandasoftware.com (http://www.pandasoftware.com)
    * www.sophos.com (http://www.sophos.com)
    * www.symantec.com (http://www.symantec.com)
    * www.t35.com (http://www.t35.com)
    * www.t35.net (http://www.t35.net)
    * www.trendmicro.com (http://www.trendmicro.com)
    * www.viruslist.com (http://www.viruslist.com)
    * www.virustotal.com (http://www.virustotal.com)

Detención de procesos
El gusano detiene la ejecución de los siguientes procesos, muchos de ellos pertenecientes a aplicaciones antivirus y de seguridad informática, así como a otros códigos maliciosos:

    * _AVP32.EXE
    * _AVPCC.EXE
    * _AVPM.EXE
    * ATUPDATER.EXE
    * AUPDATE.EXE
    * AUTODOWN.EXE
    * AUTOTRACE.EXE
    * AUTOUPDATE.EXE
    * AVPUPD.EXE
    * AVWUPD32.EXE
    * AVXQUAR.EXE
    * backdoor.rbot.gen.exe
    * backdoor.rbot.gen_(17).exe
    * CFIAUDIT.EXE
    * dailin.exe
    * DRWEBUPW.EXE
    * F-AGOBOT.EXE
    * GfxAcc.exe
    * HIJACKTHIS.EXE
    * IAOIN.EXE
    * ICSSUPPNT.EXE
    * ICSUPP95.EXE
    * Lien Van de Kelderrr.exe
    * LUALL.EXE
    * MCUPDATE.EXE
    * msnmsgr.exe
    * msssss.exe
    * NUPGRADE.EXE
    * rasmngr.exe
    * RAVMOND.exe
    * RB.EXE
    * Systra.exe
    * taskmanagr.exe
    * UPDATE.EXE
    * VisualGuard.exe
    * wfdmgr.exe
    * WIN32.EXE
    * WIN32US.EXE
    * WINACTIVE.EXE
    * WIN-BUGSFIX.EXE
    * WINDOW.EXE
    * WINDOWS.EXE
    * WININETD.EXE
    * WININIT.EXE
    * WININITX.EXE
    * WINLOGIN.EXE
    * WINMAIN.EXE
    * WINPPR32.EXE
    * WINRECON.EXE
    * winshost.exe
    * WINSSK32.EXE
    * WINSTART.EXE
    * WINSTART001.EXE
    * WINTSK32.EXE
    * WINUPDATE.EXE
    * WKUFIND.EXE
    * WNAD.EXE
    * WNT.EXE
    * wowpos32.exe
    * WRADMIN.EXE
    * WRCTRL.EXE
    * wuamga.exe
    * wuamgrd.exe
    * WUPDATER.EXE
    * WUPDT.EXE
    * WYVERNWORKSFIREWALL.EXE
    * XPF202EN.EXE
    * ZAPRO.EXE
    * ZAPSETUP3001.EXE
    * ZATUTOR.EXE
    * ZONALM2601.EXE
    * ZONEALARM.EXE

Además, detiene la ejecución de aquellos procesos con los siguientes nombres:

    * AvxIni
    * BackWeb Client - 7681197
    * BlackICE
    * dvpapi
    * dvpinit
    * F-Secure Gatekeeper Handler Starter
    * KAVMonitorService
    * McAfee Firewall
    * navapsvc
    * NETSKY
    * NISSERV
    * NOD32ControlCenter
    * NOD32Service
    * Norman NJeeves
    * Norman ZANDA
    * Norton Antivirus Server
    * NProtectService
    * nvcoas
    * NVCScheduler
    * NWService
    * PASSRV
    * PCCPFW
    * PersFW
    * ravmon8
    * schscnt
    * SmcService
    * SweepNet
    * SWEEPSRV.SYS
    * Tmntsrv
    * VexiraAntivirus