|
AGOBOT.AJD, destructivo gusano/backdoor explota varias
vulnerabilidades de MS Windows, etc.
|
|
©
Jorge Machado Lima-Perú
|
|
W32/Agobot.AJD,
Troj/Gaobot.AJD
 |
|
Agobot.AJD
es un destructivo gusano/backdoor
reportado el 12 de Mayo del 2004, que explota
varias vulnerabilidades de MS Windows:
- DCOM
RPC (Llamada Remota
de Procedimientos)
- WebDav (Web-based Distributed Authoring and Versioning)
- Desbordamiento de Buffer del Servicio Localizador
- Desbordamiento del Buffer de
Servicio de Estaciones de Trabajo
- Desbordamiento del Buffer del
Plug and Play Universal
- Elevación de Servicios de las
tareas web del Microsoft SQL Server 2000
- Desbordamiento del Servicio
Remoto de Seguridad Local
|
Termina los procesos
de antivirus, firewalls y software de control dejando al sistema vulnerable
a los virus y ataques de intrusos. El
gusano se propaga además por medio de los Backdoors instalados por los
gusanos Bagle, Mydoom y Optix.
Impide el acceso a la mayoría de sitios
web de software antivirus para evitar actualizaciones.
Además de enviar la información capturada
y extraída de los sistemas atacados a un canal de Chat, el poseedor del Backdoor Cliente
puede tomar
el control de los mismos.
Es un PE
(Portable
Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server
2003,
está programado en Visual C++, con una extensión de 107 KB y comprimido con el
utilitario UPX (Ultimate Packer for eXecutables):
http://upx.sourceforge.net
Una vez ingresado el gusano se
auto-copia a la carpeta %System% el
archivo de nombre wauclt.exe y para ejecutares la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Automated Windows
Updates" = "%System%\wauclt.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Automated Windows
Updates" = "%System%\wauclt.exe"
%System% es la variable C:\Windows\System
para Windows 95/98/Me, C:\Winnt\System32
para Windows NT/2000 y C:\Windows\System32
para Windows XP y Windows Server 2003.
El gusano agrega una dirección IP y los
siguientes URL a la ruta %System%\drivers\etc\hosts
con el propósito de que el sistema infectado no puede conectarse a esos
sitios en la web para poder descargar actualizaciones de software antivirus:
- 127.0.0.1 www.symantec.com
- 127.0.0.1
securityresponse.symantec.com
- 127.0.0.1 symantec.com
- 127.0.0.1 www.sophos.com
- 127.0.0.1 sophos.com
- 127.0.0.1 www.mcafee.com
- 127.0.0.1 mcafee.com
- 127.0.0.1
liveupdate.symantecliveupdate.com
- 127.0.0.1 www.viruslist.com
- 127.0.0.1 viruslist.com
- 127.0.0.1 viruslist.com
- 127.0.0.1 f-secure.com
- 127.0.0.1 www.f-secure.com
- 127.0.0.1 kaspersky.com
- 127.0.0.1 kaspersky-labs.com
- 127.0.0.1 www.avp.com
- 127.0.0.1 www.kaspersky.com
- 127.0.0.1 avp.com
- 127.0.0.1 www.networkassociates.com
- 127.0.0.1 networkassociates.com
- 127.0.0.1 www.ca.com
- 127.0.0.1 ca.com
- 127.0.0.1 mast.mcafee.com
- 127.0.0.1 my-etrust.com
- 127.0.0.1 www.my-etrust.com
- 127.0.0.1 download.mcafee.com
- 127.0.0.1 dispatch.mcafee.com
- 127.0.0.1 secure.nai.com
- 127.0.0.1 nai.com
- 127.0.0.1 www.nai.com
- 127.0.0.1 update.symantec.com
- 127.0.0.1 updates.symantec.com
- 127.0.0.1 us.mcafee.com
- 127.0.0.1 liveupdate.symantec.com
- 127.0.0.1 customer.symantec.com
- 127.0.0.1 rads.mcafee.com
- 127.0.0.1 trendmicro.com
- 127.0.0.1 www.trendmicro.com
- 127.0.0.1 www.grisoft.com
Al siguiente inicio del equipo termina los procesos de los siguientes antivirus, firewalls o programas de
monitoreo que se encuentren instalados, dejando al sistema totalmente
vulnerable a los virus y ataques de intrusos:
- _AVP32.EXE
- _AVPCC.EXE
- _AVPM.EXE
- ACKWIN32.EXE
- ADAWARE.EXE
- ADVXDWIN.EXE
- AGENTSVR.EXE
- AGENTW.EXE
- ALERTSVC.EXE
- ALEVIR.EXE
- ALOGSERV.EXE
- AMON9X.EXE
- ANTI-TROJAN.EXE
- ANTIVIRUS.EXE
- ANTS.EXE
- APIMONITOR.EXE
- APLICA32.EXE
- APVXDWIN.EXE
- ARR.EXE
- ATCON.EXE
- ATGUARD.EXE
- ATRO55EN.EXE
- ATUPDATER.EXE
- ATWATCH.EXE
- AU.EXE
- AUPDATE.EXE
- AUTO-PROTECT.NAV80TRY.EXE
- AUTODOWN.EXE
- AUTOTRACE.EXE
- AUTOUPDATE.EXE
- AVCONSOL.EXE
- AVE32.EXE
- AVGCC32.EXE
- AVGCTRL.EXE
- AVGNT.EXE
- AVGSERV.EXE
- AVGSERV9.EXE
- AVGUARD.EXE
- AVGW.EXE
- AVKPOP.EXE
- AVKSERV.EXE
- AVKSERVICE.EXE
- AVKWCTl9.EXE
- AVLTMAIN.EXE
- AVNT.EXE
- AVP.EXE
- AVP32.EXE
- AVPCC.EXE
- AVPDOS32.EXE
- AVPM.EXE
- AVPTC32.EXE
- AVPUPD.EXE
- AVSCHED32.EXE
- AVSYNMGR.EXE
- AVWIN95.EXE
- AVWINNT.EXE
- AVWUPD.EXE
- AVWUPD32.EXE
- AVWUPSRV.EXE
- AVXMONITOR9X.EXE
- AVXMONITORNT.EXE
- AVXQUAR.EXE
- BACKWEB.EXE
- BARGAINS.EXE
- BD_PROFESSIONAL.EXE
- BEAGLE.EXE
- BELT.EXE
- BIDEF.EXE
- BIDSERVER.EXE
- BIPCP.EXE
- BIPCPEVALSETUP.EXE
- BISP.EXE
- BLACKD.EXE
- BLACKICE.EXE
- BLSS.EXE
- BOOTCONF.EXE
- BOOTWARN.EXE
- BORG2.EXE
- BPC.EXE
- BRASIL.EXE
- BS120.EXE
- BUNDLE.EXE
- BVT.EXE
- CCAPP.EXE
- CCEVTMGR.EXE
- CCPXYSVC.EXE
- CDP.EXE
- CFD.EXE
- CFGWIZ.EXE
- CFIADMIN.EXE
- CFIAUDIT.EXE
- CFINET.EXE
- CFINET32.EXE
- Claw95.EXE
- CLAW95CF.EXE
- CLEAN.EXE
- CLEANER.EXE
- CLEANER3.EXE
- CLEANPC.EXE
- CLICK.EXE
- CMD32.EXE
- CMESYS.EXE
- CMGRDIAN.EXE
- CMON016.EXE
- CONNECTIONMONITOR.EXE
- CPD.EXE
- CPF9X206.EXE
- CPFNT206.EXE
- CTRL.EXE
- CV.EXE
- CWNB181.EXE
- CWNTDWMO.EXE
- DATEMANAGER.EXE
- DCOMX.EXE
- DEFALERT.EXE
- DEFSCANGUI.EXE
- DEFWATCH.EXE
- DEPUTY.EXE
- DIVX.EXE
- DLLCACHE.EXE
- DLLREG.EXE
- DOORS.EXE
- DPF.EXE
- DPFSETUP.EXE
- DPPS2.EXE
- DRWATSON.EXE
- DRWEB32.EXE
- DRWEBUPW.EXE
- DSSAGENT.EXE
- DVP95.EXE
- DVP95_0.EXE
- ECENGINE.EXE
- EFPEADM.EXE
- EMSW.EXE
- ENT.EXE
- ESAFE.EXE
- ESCANH95.EXE
- ESCANHNT.EXE
- ESCANV95.EXE
- ESPWATCH.EXE
- ETHEREAL.EXE
- ETRUSTCIPE.EXE
- EVPN.EXE
- EXANTIVIRUS-CNET.EXE
- EXE.AVXW.EXE
- EXPERT.EXE
- EXPLORE.EXE
- F-AGNT95.EXE
- F-PROT.EXE
- F-PROT95.EXE
- F-STOPW.EXE
- FAMEH32.EXE
- FAST.EXE
- FCH32.EXE
- FIH32.EXE
- FINDVIRU.EXE
- FIREWALL.EXE
- FLOWPROTECTOR.EXE
- FNRB32.EXE
- FP-WIN.EXE
- FP-WIN_TRIAL.EXE
- FPROT.EXE
- FRW.EXE
- FSAA.EXE
- FSAV.EXE
- FSAV32.EXE
- FSAV530STBYB.EXE
- FSAV530WTBYB.EXE
- FSAV95.EXE
- FSGK32.EXE
- FSM32.EXE
- FSMA32.EXE
- FSMB32.EXE
- GATOR.EXE
- GBMENU.EXE
- GBPOLL.EXE
- GENERICS.EXE
- GMT.EXE
- GUARD.EXE
- GUARDDOG.EXE
- HACKTRACERSETUP.EXE
- HBINST.EXE
- HBSRV.EXE
- HOTACTIO.EXE
- HOTPATCH.EXE
- HTLOG.EXE
- HTPATCH.EXE
- HWPE.EXE
- HXDL.EXE
- HXIUL.EXE
- IAMAPP.EXE
- IAMSERV.EXE
- IAMSTATS.EXE
- IBMASN.EXE
- IBMAVSP.EXE
- ICLOAD95.EXE
- ICLOADNT.EXE
- ICMON.EXE
- ICSUPP95.EXE
- ICSUPPNT.EXE
- IDLE.EXE
- IEDLL.EXE
- IEDRIVER.EXE
- IEXPLORER.EXE
- IFACE.EXE
- IFW2000.EXE
- INETLNFO.EXE
- INFUS.EXE
- INFWIN.EXE
- INIT.EXE
- INTDEL.EXE
- INTREN.EXE
- IOMON98.EXE
- IPARMOR.EXE
- IRIS.EXE
- ISASS.EXE
- ISRV95.EXE
- ISTSVC.EXE
- JAMMER.EXE
- JDBGMRG.EXE
- JEDI.EXE
- KAVLITE40ENG.EXE
- KAVPERS40ENG.EXE
- KAVPF.EXE
- KAZZA.EXE
- KEENVALUE.EXE
- KERIO-PF-213-EN-WIN.EXE
- KERIO-WRL-421-EN-WIN.EXE
- KERIO-WRP-421-EN-WIN.EXE
- KERNEL32.EXE
- KILLPROCESSSETUP161.EXE
- LAUNCHER.EXE
- LDNETMON.EXE
- LDPRO.EXE
- LDPROMENU.EXE
- LDSCAN.EXE
- LNETINFO.EXE
- LOADER.EXE
- LOCALNET.EXE
- LOCKDOWN.EXE
- LOCKDOWN2000.EXE
- LOOKOUT.EXE
- LORDPE.EXE
- LSETUP.EXE
- LUALL.EXE
- LUAU.EXE
- LUCOMSERVER.EXE
- LUINIT.EXE
- LUSPT.EXE
- MAPISVC32.EXE
- MCAGENT.EXE
- MCMNHDLR.EXE
- MCSHIELD.EXE
- MCTOOL.EXE
- MCUPDATE.EXE
- MCVSRTE.EXE
- MCVSSHLD.EXE
- MD.EXE
- MFIN32.EXE
- MFW2EN.EXE
- MFWENG3.02D30.EXE
- MGAVRTCL.EXE
- MGAVRTE.EXE
- MGHTML.EXE
- MGUI.EXE
- MINILOG.EXE
- MMOD.EXE
- MONITOR.EXE
- MOOLIVE.EXE
- MOSTAT.EXE
- MPFAGENT.EXE
- MPFSERVICE.EXE
- MPFTRAY.EXE
- MRFLUX.EXE
- MSAPP.EXE
- MSBB.EXE
- MSBLAST.EXE
- MSCACHE.EXE
- MSCCN32.EXE
- MSCMAN.EXE
- MSCONFIG.EXE
- MSDM.EXE
- MSDOS.EXE
- MSIEXEC16.EXE
- MSINFO32.EXE
- MSLAUGH.EXE
- MSMGT.EXE
- MSMSGRI32.EXE
- MSSMMC32.EXE
- MSSYS.EXE
- MSVXD.EXE
- MU0311AD.EXE
- MWATCH.EXE
- N32SCANW.EXE
- NAV.EXE
- NAVAP.NAVAPSVC.EXE
- NAVAPSVC.EXE
- NAVAPW32.EXE
- NAVDX.EXE
- NAVENGNAVEX15.NAVLU32.EXE
- NAVLU32.EXE
- NAVNT.EXE
- NAVSTUB.EXE
- NAVW32.EXE
- NAVWNT.EXE
- NC2000.EXE
- NCINST4.EXE
- NDD32.EXE
- NEOMONITOR.EXE
- NEOWATCHLOG.EXE
- NETARMOR.EXE
- NETD32.EXE
- NETINFO.EXE
- NETMON.EXE
- NETSCANPRO.EXE
- NETSPYHUNTER-1.2.EXE
- NETSTAT.EXE
- NETUTILS.EXE
- NISSERV.EXE
- NISUM.EXE
- NMAIN.EXE
- NOD32.EXE
- NORMIST.EXE
- NORTON_INTERNET_SECU_3.0_407.EXE
- NOTSTART.EXE
- NPF40_TW_98_NT_ME_2K.EXE
- NPFMESSENGER.EXE
- NPROTECT.EXE
- NPSCHECK.EXE
- NPSSVC.EXE
- NSCHED32.EXE
- NSSYS32.EXE
- NSTASK32.EXE
- NSUPDATE.EXE
- NT.EXE
- NTRTSCAN.EXE
- NTVDM.EXE
- NTXconfig.EXE
- NUI.EXE
- NUPGRADE.EXE
- NVARCH16.EXE
- NVC95.EXE
- NVSVC32.EXE
- NWINST4.EXE
- NWSERVICE.EXE
- NWTOOL16.EXE
- OLLYDBG.EXE
- ONSRVR.EXE
- OPTIMIZE.EXE
- OSTRONET.EXE
- OTFIX.EXE
- OUTPOST.EXE
- OUTPOSTINSTALL.EXE
- OUTPOSTPROINSTALL.EXE
- PADMIN.EXE
- PANIXK.EXE
- PATCH.EXE
- PAVCL.EXE
- PAVPROXY.EXE
- PAVSCHED.EXE
- PAVW.EXE
- PCC2002S902.EXE
- PCC2K_76_1436.EXE
- PCCIOMON.EXE
- PCCNTMON.EXE
- PCCWIN97.EXE
- PCCWIN98.EXE
- PCDSETUP.EXE
- PCFWALLICON.EXE
- PCIP10117_0.EXE
- PCSCAN.EXE
- PDSETUP.EXE
- PENIS.EXE
- PERISCOPE.EXE
- PERSFW.EXE
- PERSWF.EXE
- PF2.EXE
- PFWADMIN.EXE
- PGMONITR.EXE
- PINGSCAN.EXE
- PLATIN.EXE
- POP3TRAP.EXE
- POPROXY.EXE
- POPSCAN.EXE
- PORTDETECTIVE.EXE
- PORTMONITOR.EXE
- POWERSCAN.EXE
- PPINUPDT.EXE
- PPTBC.EXE
- PPVSTOP.EXE
- PRIZESURFER.EXE
- PRMT.EXE
- PRMVR.EXE
- PROCDUMP.EXE
- PROCESSMONITOR.EXE
- PROCEXPLORERV1.0.EXE
- PROGRAMAUDITOR.EXE
- PROPORT.EXE
- PROTECTX.EXE
- PSPF.EXE
- PURGE.EXE
- PUSSY.EXE
- PVIEW95.EXE
- QCONSOLE.EXE
- QSERVER.EXE
- RAPAPP.EXE
- RAV7.EXE
- RAV7WIN.EXE
- RAV8WIN32ENG.EXE
- RAY.EXE
- RB32.EXE
- RCSYNC.EXE
- REALMON.EXE
- REGED.EXE
- REGEDIT.EXE
- REGEDT32.EXE
- RESCUE.EXE
- RESCUE32.EXE
- RRGUARD.EXE
- RSHELL.EXE
- RTVSCAN.EXE
- RTVSCN95.EXE
- RULAUNCH.EXE
- RUN32DLL.EXE
- RUNDLL16.EXE
- RUXDLL32.EXE
- SAFEWEB.EXE
- SAHAGENT.EXE
- SAVE.EXE
- SAVENOW.EXE
- SBSERV.EXE
- SC.EXE
- SCAM32.EXE
- SCAN32.EXE
- SCAN95.EXE
- SCANPM.EXE
- SCRSCAN.EXE
- SCRSVR.EXE
- SCVHOST.EXE
- SD.EXE
- SERV95.EXE
- SERVICE.EXE
- SERVLCE.EXE
- SERVLCES.EXE
- SETUP_FLOWPROTECTOR_US.EXE
- SETUPVAMEEVAL.EXE
- SFC.EXE
- SGSSFW32.EXE
- SH.EXE
- SHELLSPYINSTALL.EXE
- SHN.EXE
- SHOWBEHIND.EXE
- SMC.EXE
- SMS.EXE
- SMSS32.EXE
- SOAP.EXE
- SOFI.EXE
- SPERM.EXE
- SPF.EXE
- SPHINX.EXE
- SPOLER.EXE
- SPOOLCV.EXE
- SPOOLSV32.EXE
- SPYXX.EXE
- SREXE.EXE
- SRNG.EXE
- SS3EDIT.EXE
- SSG_4104.EXE
- SSGRATE.EXE
- ST2.EXE
- START.EXE
- STCLOADER.EXE
- SUPFTRL.EXE
- SUPPORT.EXE
- SUPPORTER5.EXE
- SVC.EXE
- SVCHOSTC.EXE
- SVCHOSTS.EXE
- SVSHOST.EXE
- SWEEP95.EXE
- SWEEPNET.SWEEPSRV.SYS.SWNETSUP.EXE
- SYMPROXYSVC.EXE
- SYMTRAY.EXE
- SYSEDIT.EXE
- SYSTEM.EXE
- SYSTEM32.EXE
- SYSUPD.EXE
- TASKMG.EXE
- TASKMO.EXE
- TASKMON.EXE
- TAUMON.EXE
- TBSCAN.EXE
- TC.EXE
- TCA.EXE
- TCM.EXE
- TDS-3.EXE
- TDS2-98.EXE
- TDS2-NT.EXE
- TEEKIDS.EXE
- TFAK.EXE
- TFAK5.EXE
- TGBOB.EXE
- TITANIN.EXE
- TITANINXP.EXE
- TRACERT.EXE
- TRICKLER.EXE
- TRJSCAN.EXE
- TRJSETUP.EXE
- TROJANTRAP3.EXE
- TSADBOT.EXE
- TVMD.EXE
- TVTMD.EXE
- UNDOBOOT.EXE
- UPDAT.EXE
- UPDATE.EXE
- UPGRAD.EXE
- UTPOST.EXE
- VBCMSERV.EXE
- VBCONS.EXE
- VBUST.EXE
- VBWIN9X.EXE
- VBWINNTW.EXE
- VCSETUP.EXE
- VET32.EXE
- VET95.EXE
- VETTRAY.EXE
- VFSETUP.EXE
- VIR-HELP.EXE
- VIRUSMDPERSONALFIREWALL.EXE
- VNLAN300.EXE
- VNPC3000.EXE
- VPC32.EXE
- VPC42.EXE
- VPFW30S.EXE
- VPTRAY.EXE
- VSCAN40.EXE
- VSCENU6.02D30.EXE
- VSCHED.EXE
- VSECOMR.EXE
- VSHWIN32.EXE
- VSISETUP.EXE
- VSMAIN.EXE
- VSMON.EXE
- VSSTAT.EXE
- VSWIN9XE.EXE
- VSWINNTSE.EXE
- VSWINPERSE.EXE
- W32DSM89.EXE
- W9X.EXE
- WATCHDOG.EXE
- WEBDAV.EXE
- WEBSCANX.EXE
- WEBTRAP.EXE
- WFINDV32.EXE
- WGFE95.EXE
- WHOSWATCHINGME.EXE
- WIMMUN32.EXE
- WIN-BUGSFIX.EXE
- WIN32.EXE
- WIN32US.EXE
- WINACTIVE.EXE
- WINDOW.EXE
- WINDOWS.EXE
- WININETD.EXE
- WININIT.EXE
- WININITX.EXE
- WINLOGIN.EXE
- WINMAIN.EXE
- WINNET.EXE
- WINPPR32.EXE
- WINRECON.EXE
- WINSERVN.EXE
- WINSSK32.EXE
- WINSTART.EXE
- WINSTART001.EXE
- WINTSK32.EXE
- WINUPDATE.EXE
- WKUFIND.EXE
- WNAD.EXE
- WNT.EXE
- WRADMIN.EXE
- WRCTRL.EXE
- WSBGATE.EXE
- WUPDATER.EXE
- WUPDT.EXE
- WYVERNWORKSFIREWALL.EXE
- XPF202EN.EXE
- ZAPRO.EXE
- ZAPSETUP3001.EXE
- ZATUTOR.EXE
- ZONALM2601.EXE
- ZONEALARM.EXE
En el caso de que el sistema atacado estuviese
infectado terminará estos procesos:
- irun4.exe
- Ssate.exe
- i11r54n4.exe
- winsys.exe
- ssgrate.exe
- d3dupdate.exe
- bbeagle.exe
Si encuentra un sistema con algunas
de las vulnerabilidades, intenta conectarse a los
sistemas remotos con recursos compartidos como Administrador
Oculto Compartido (ADMIN$
share), buscando:
emplea los siguientes nombres de usuarios o
aquellos hallados en el API de sistema NetUserEnum():
- aaa
- abc
- Admin
- admin
- administrador
- Administrador
- Administrat
- Administrateur
- administrator
- admins
- anonymous
- asdf
- backup
- ball
- Benutzer
- bill
- blackbox
- calcolatore
- colin
- computadora
- computer
- Convidado
- Coordinatore
- data
- database
- Default
- Dell
- dick
- erik
- fuck
- Gast
- george
- Guesthome
- Invit
- Inviter
- jim
- kanri
- kanri-sha
- karl
- kate
- lab
- mark
- mary
- master
- mgmt
- mike
- mypc
- mysql
- null
- OEM
- office
- oracle
- Ospite
- OWNER
- owner
- Owner
- patrick
- peter
- poop
- private
- qwer
- rat
- rio
- root
- sasecret
- server
- sex
- sped
- sql
- sqlagent
- sql-server
- stacey
- stacy
- Standard
- stefan
- steve
- steven
- student
- sybase
- system
- teacher
- temp
- Test
- tim
- tom
- user
- User
- Usu
- Utente
- Utilisateur
- Verwalter
- web
- webmaster
- win
- workplace
- wwwadmin
- xyz
con las siguientes
contraseñas:
- !@#$
- !@#$%
- !@#$%^
- !@#$%^&
- !@#$%^&*
- 000000
- 00000000
- 007
- 110
- 111
- 111111
- 11111111
- 121212
- 123
- 123123
- 1234
- 12345
- 123456
- 1234567
- 12345678
- 123456789
- 1234qwer
- 123abc
- 123asd
- 123qwe
- 2002
- 2004
- 2600
- 54321
- 654321
- 666
- 88888888
- abc123
- abcd
- ACCESS
- admin123
- ADMINISTRATO
- Ralphaas
- dfghas
- dfghjkl
- ASP
- baby
- backdoor
- BACKUP
- Box
- BOX
- box
- changeme
- CNN
- crash
- devil
- dude
- enable
- feds
- fish
- foobar
- fucked
- gay
- god
- godblessyou
- hax
- homework
- idiot
- ihavenopass
- Internet
- kids
- leet
- linux
- LOCAL
- Login
- lol
- lovemeta
- lmyb
- mybox
- mypass
- mypc
- noob
- oracle
- own
- owned
- pass
- PASSWD
- passwd
- password
- Password
- password123
- patpatrick
- penis
- PHPpoiuytrewq
- porn
- private
- pussy
- pwd
- pwned
- qwerty
- qwertyuiop
- r00t
- red123
- ROOT
- rooted
- school
- secret
- secrets
- SERVER
- sex
- share
- super
- superman
- supersecret
- sybase
- SYSTEM
- TEMP
- TEST
- test123
- UNIX
- vagina
- wertywh0rewhore
- windows2k
- windows98
- windowsME
- WindowsXP
- windoze
- work
- xxx
- xxyyzz
- yxcv
- zxcv
- zxcvbnm
Actuando como Backdoor, se conecta a un servidor remoto IRC (Internet
Chat Relay) y puede ejecutar las siguientes acciones:
- Captura y envía información del
sistema y sus registros.
- Captura archivos vía FTP y HTTP.
- Satura el cache del DNS (Domain Name
Server)
- Revisa y lista todos los procesos en
ejecución, terminándolos selectivamente.
- Termina servicios de Windows.
- Abre y ejecuta comandos.
- Descarga archivos vía HTTP y FTP y los
ejecuta.
- Ejecuta saturaciones de HTTP, ICMP, SYN
y UPD.
- Captura los buzones de correo contenidos
en los sistemas.
- Envía mensajes privados a través del
Chat.
- Re-inicia o desconecta el sistema.
- Captura los ID y claves de CD de Windows
y juegos de video de los sistemas infectados.
El Backdoor extrae las claves del sistema
operativo Windows y de los
siguientes juegos de PC., en caso éstos estuviesen instalados:
- Battlefield 1942
- Battlefield 1942 Secret Weapons Of WWII
- Battlefield 1942 The Road To Rome
- Battlefield Vietnam
- Black and White
- Chrome
- Command and Conquer Generals
- Command and Conquer Generals Zero Hour
- Command and Conquer Red Alert2Command
and Conquer Tiberian Sun
- Counter-Strike
- FIFA 2002
- FIFA 2003
- Freedom Force
- Global Operations
- Gunman Chronicles
- Half-Life
- Hidden and Dangerous 2
- IGI2 Covert Strike
- Industry Giant 2
- James Bond 007 Nightfire
- Legends of Might and Magic
- Medal of Honor Allied Assault
- Medal of Honor Allied Assault
Breakthrough
- Medal of Honor Allied Assault Spearhead
- Nascar Racing 2002
- Nascar Racing 2003
- Need For Speed Hot Pursuit 2
- Need For Speed Underground
- Neverwinter Nights
- NHL 2002
- NHL 2003
- NOX
- Rainbow Six III Ravenshield
- Shogun Total War Warlord Edition
- Soldier Of Fortune 2
- Soldiers Of Anarchy
- The Gladiators
- Unreal Tournament 2003
- Unreal Tournament 2004
Finalmente el gusano ejecuta ataques DoS y de saturación HTTP,
SYN, ICMP y UPD en los sistemas infectados, logrando colapsarlos.
Los parches para estas
vulnerabilidades pueden ser descargados desde:
Vulnerabilidad DCOM
RPC:
http://www.microsoft.com/security/security_bulletins/ms03-026.asp
Vulnerabilidad WebDav
(Web-based Distributed Authoring and Versioning):
http://www.microsoft.com/security/security_bulletins/ms03-007.asp
Vulnerabilidad del
desbordamiento de Servicio de Workstations:
http://www.microsoft.com/security/security_bulletins/ms03-043.asp
http://www.microsoft.com/security/security_bulletins/ms03-049.asp
Vulnerabilidad de Elevación
de Servicios de las tareas web del Microsoft SQL Server 2000:
http://www.microsoft.com/security/security_bulletins/ms02-061.asp
Vulnerabilidad de Desbordamiento
del Servicio Remoto de Seguridad Local:
http://www.microsoft.com/security/security_bulletins/ms04-011.asp
Los payloads
de este gusano/backdoor son los siguientes:
- Aprovecha diversas vulnerabilidad de los
sistemas operativos de Microsoft.
- Termina los procesos de la mayoría de
antivirus, firewalls y programas de control y algunos del sistema.
- Impide el acceso a las direcciones URL
de diversos antivirus para evitar actualizaciones.
- Intenta ingresar a los servidores como
Administrador haciendo uso de una lista de Nombres de Usuario y Claves de Acceso.
- Se propaga a través de Redes remotas
con recursos compartidos ocultos.
- Se propaga a través de los Backdoors
creados por los gusanos Bagle, Mydoom y Optix.
- Captura información de la
configuración del servidor y de las estaciones de trabajo.
- Envía la información al hacker
poseedor del Backdoor Cliente, a través del IRC.
- Roba claves del sistema operativo y de CD's de populares juegos.
- Descarga y ejecuta otros archivos vía
HTTP y el IRC.
- Controla remotamente los archivos y
programas de los sistemas infectados.
- Genera ataques DoS y de saturación HTTP,
SYN, ICMP y UPD en los sistemas infectados.
- Roba los ID y calves del
sistema operativo Windows y de Juegos de Video instalados en los
sistemas.
PER ANTIVIRUS®
versión 8.6 con registro de virus al 12 de Mayo del
2004 detecta y elimina
eficientemente este gusano/backdoor.
