Agobot.BAJ

AGOBOT.BAJ, destructivo gusano/backdoor de IRC y redes con recursos compartidos ocultos.

W32/Agobot.BAJ, Troj/Gaobot.BAJ

Agobot.BAJ es un destructivo gusano/backdoor reportado el 03 de Agosto del 2004, que se propaga en Redes con recursos compartidos ocultos, estaciones de trabajo configuradas con contraseñas débiles y determinados canales de Chat.

También hace uso de los Backdoors abiertos por las variantes de MyDoom.

A través del puerto TCP 6667 intrusos de la red pueden acceder a un sistema infectado vía canales determinados del IRC (Internet Chat Relay), desde el cual pueden ejecutar acciones nocivas en contra de su seguridad, incluyendo el robo de información y hasta ataques de Negación de Servicios (DoS).

Además de enviar la información capturada y extraída de los sistemas atacados, el poseedor del Backdoor Cliente tomará el control de los mismos.

Se propaga en carpetas y sub-carpetas de servidores y unidades de disco con recursos compartidos ocultos (IPC$) que emplean el protocolo SMB (Server Message Block).

Es un PE (Portable Ejecutable) e infecta a Windows NT/2000/XP, incluyendo los servidores NT/2000, está programado en Visual C++, con una extensión de 133 KB y comprimido con el utilitario ASPack:

http://www.aspack.com

Una vez ingresado el gusano se auto-copia a la carpeta %System% como wmon32.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"WSAConfiguration" = "%System%/wmon32.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"WSAConfiguration" = "%System%/wmon32.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Una vez activado, el gusano abre el puerto TCP 6667 (IRCU) y se conecta a un servidor IRC (Internet Chat Relay) desde el cual puede ejecutar algunas de las siguientes acciones:

Revisar todas las estaciones de trabajo de una red, incluyendo el servidor.
Captura la información del sistema.
Descargar y ejecutar archivos.
Listar procesos iniciar o cancelar aquellos en ejecución.
Controlar el sistema, creando o borrando archivos.
Borrar información del sistema y enviarla al autor del gusano a través de mensajes de correo.
Ejecutar ataques de Negación de Servicios DoS.
Accionar el re-direccionamiento de puertos TCP o UDP.

En caso que estas carpetas tengan todos los privilegios, el gusano se copia a todas las unidades de red con recursos compartidos. Y en el caso de que no los tuvieren, intenta conectarse a los equipos remotos como Administrador Compartido (ADMIN$ share), haciendo uso de una larga lista de de nombres de usuarios y contraseñas contenidas dentro del código del virus.

Si encuentra un sistema vulnerable se copia y ejecuta en memoria en los sistemas que infecta y en caso de que los sistemas estuviesen infectados con algunas de las variantes de MyDoom, este gusano emplea las puertas traseras abiertas para continuar con su infección.

El gusano roba las claves de CD de los siguientes juegos de computadoras:

Command & Conquer Generals
FIFA 2003
Need For Speed Hot Pursuit 2
Soldier of Fortune II - Double Helix
Neverwinter
Rainbow Six III RavenShield
Battlefield 1942 Road To Rome
Project IGI 2
Counter-Strike
Unreal Tournament 2003
Half-Life

NOTA: El IRCU es el software utilizado por la mayoría de IRC (Internet Chat Relay) para su funcionamiento, (clientes IRC, mIRC, etc.)

El gusano ejecuta ataques DoS por saturación HTTP, SYN, PING o UPD hacia direcciones generadas en forma aleatoria, intentando colapsarlas.

Los payloads de este troyano/backdoor son los siguientes:

Se propaga en Redes con recursos compartidos y estaciones de trabajo configurados con contraseñas débiles y vía un pre-determinado canal de Chat.
También se difunde en los Backdoors abiertos por las variantes de MyDoom.
Intenta ingresar a los servidores como Administrador haciendo uso de una lista de Nombres de Usuario y Claves de Acceso.
Se propaga a través de Redes remotas con recursos compartidos ocultos.
Captura información de la configuración del servidor y de las estaciones de trabajo.
Descarga y ejecuta otros archivos vía el IRC.
Controla remotamente los archivos y programas de los sistemas infectados.
Roba el ID de producto del sistema operativo Windows y las llaves de CD de populares juegos de PC.
Ocasiona ataques DoS por saturación HTTP, SYN, PING o UPD a IP aleatorias.

PER ANTIVIRUS® versión 8.8 con registro de virus al 03 de Agosto del 2004 detecta y elimina eficientemente este gusano/backdoor.