W32/Acebot, Troj/Backdoor/Acebot, W32/Acebo

Acebot es un destructivo gusano troyano/backdoor reportado el 13 de Octubre del 2003, que se propaga en unidades de disco de Redes con recursos compartidos en estaciones de trabajo de redes locales (LAN), con un archivo de nombre aleatorio con extensión .EXE  Actuando como Backdoor se conecta a un pre-determinado canal IRC (Internet Chat Relay) enviando información y recibiendo comandos remotos del hacker.

Este gusano ocasiona múltiples efectos perniciosos y hasta destructivos, deshabilita Firewalls, roba información y claves de acceso, las cuales envía al hacker a través de un canal del IRC (Internet Chat Relay), ocasiona un Ataque DoS o Negación de Servicio, saturando el tráfico en la red y se auto-elimina una vez iniciada sus actividades.

Actuando como Backdoor, se conecta un canal de Chat del servidor irc.dalnet.com para enviar la información extraída de los sistemas infectados, a través de puertos TCP aleatorios del IRC y a su vez recibe instrucciones o comandos en forma remota del hacker poseedor del software Cliente. 

Es un PE (Portable Ejecutable) e infecta Windows NT/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++ con una extensión de 168 KB y comprimido con el utilitario ASPack:

http://www.aspack.com 

Para ejecutarse la próxima vez que se inicie el sistema, crea la siguiente llave de registro: 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Diagnostic" = "%System%\[nombre_aleatorio.exe]"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Al re-activarse el sistema el gusano se ejecuta en memoria, copiándose a la carpeta %System% con un nombre aleatorio de extensión .EXE y verifica la existencia del archivo Mssz.ini y si no lo encuentra, el gusano lo crea en esa misma carpeta. 

Este archivo servirá como marcador de la infección y en caso de existir el sistema no volverá infectarlo. Asimismo busca en el directorio raíz de C:\ el archivo Logging.ini. 

De existir este archivo, el gusano crea la carpeta C:\Logs, en la cual copiará los siguientes archivos que registrarán la información que capture de los sistemas para ser enviadas al hacker vía Chat:

• FETCHREPORT.LOG
• CHECK.LOG
• JOIN.LOG
• MISC.LOG
• SCAN.LOG
• RECIVED.LOG
• IPREPORT.LOG
• IPS.LOG
• SERVMSG.LOG

Luego procede a ejecutar su rutina de captura de información y Claves de Acceso en sistemas basados en la tecnología NT, almacenándolos en los archivos creados con extensión .LOG, los cuales serán enviados vía un canal de un servidor IRC (Internet Chat Relay) para recibir comandos del hacker poseedor del software Cliente. 

El gusano termina los procesos de los siguientes firewalls, dejando al sistema totalmente vulnerable a los ataques de intrusos:

• Sygate Personal Firewall
• Tiny Personal Firewall
• ZoneAlarm Pro
• ZoneAlarm 

Para infectar otros sistemas conectados, el gusano busca las direcciones IP (Internet Protocol) de estaciones de trabajo con recursos compartidos, a las cuales las asigna como unidad W:\ y en la cual liberará una copia de sí mismo con el nombre de Mssg.exe en la siguiente ruta:

C:\Windows\Menú Inicio\Programas\Inicio

El archivo que contiene el gusano será borrado así mismo después de ejecutar sus rutinas de efectos nocivos y destructivos. 

Dentro de su código viral se lee la siguiente palabra:

Los payloads de este gusano/troyano/backdoor son los siguientes:

• Se propaga en unidades de disco de Redes con recursos compartidos de estaciones de trabajo de redes locales (LAN) con un archivo de nombre aleatorio, con extensión .EXE 
• Termina los procesos de diverso Firewalls dejando a los sistemas infectados vulnerables a los ataques de intrusos.
• Captura información de la configuración del servidor y de las estaciones de trabajo.
• Captura Claves de Acceso las cuales enviará al Hacker vía el IRC.
• Envía la información al hacker a través de un canal de Chat de un servidor IRC pre-determinado.
• Puede enviar/recibir comandos a través del Chat.
• Controla remotamente programas de los sistemas infectados.
• Ocasiona un ataque DoS o Negación de Servicio a través del UDP (Protocol Datagrama del Usuario) y el IGMP (Protocolo de Administración de Grupos de Internet)
• Descarga y ejecuta archivos.
• Reinicia, suspende o apaga el sistema.
• Actualiza el programa servidor desde una dirección en la web (actualmente deshabilitada).
• Borra archivos y formatea el disco duro.
• El archivo que contiene el gusano será borrado después de ejecutar sus rutinas de efectos nocivos y destructivos.  

PER ANTIVIRUS® versión 8.3 con registro de virus al 13 de Octubre del 2003 detecta y elimina  eficientemente este gusano/troyano/backdoor.