SoloCodigo

Informática en general => Seguridad y Criptografía => Virus => Mensaje iniciado por: RadicalEd en Miércoles 9 de Mayo de 2007, 18:28

Título: Spybot.xz
Publicado por: RadicalEd en Miércoles 9 de Mayo de 2007, 18:28

Información extraida de Alerta Antivirus (http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=6845)
Datos Técnicos
Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta:09-05-2007
Última Actualización:09-05-2007
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Spybot.XZ    
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias: WORM_SPYBOT.XZ (Trend Micro)
Detalles

Instalación

Cuando se ejecuta, descarga copias de sí mismo como GOOGLEUPDATER.EXE en la carpeta del sistema de Windows.

Crea la siguiente entrada de registro para asegurarse su propia ejecución junto al arranque del sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
Office Monitors = "%System%\GoogleUpdater.exe"

También desactiva el servicio DCOM y limita las capacidades de acceso anónimo al sistema por medio de la modificación de los valores de las siguientes claves de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE
EnableDCOM = "N"

el valor por defecto de esta variable es "Y"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\LSA
RestrictAnonymous = "1"

e valor por defecto de esta variable es establecido por el usuario

Propagación

Se propaga descargando copias de sí mismo como GOOGLEUPDATER.EXE en las unidades de red compartidas por defecto como IPC$.

El gusano se aprovecha de la vulnerabilidad LSASS para propagarse a través de discos de red compartidos.

Capacidades de puerta trasera

El gusano posee capacidades para abrir varios puertos a través de los cuales comunicarse con los siguientes servidores IRC:

    * test2.bhtvradio.com
    * test.bihsecurity.com

para acceder a los siguientes canales de charla:

    * #!2007!
    * #!ev22!

Si se completa la conexión, el atacante remoto podrá realizar las siguientes tareas en la maquina afectada:

    * Borrar ficheros
    * Descargar ficheros
    * Listar procesos
    * Escanear puertos
    * finalizar procesos
    * Actualizarse a sí mismo

Estos comandos se ejecuta localmente en la máquina afectada compremetiendo seriamente su seguridad.