Agobot.FQ

AGOBOT.FQ, nocivo gusano/troyano/backdoor explota vulnerabilidades RPC roba información, etc.

W32/Agobot.FQ, Troj/Gaobot.FQ

Agobot.FQ es un destructivo gusano/troyano/backdoor reportado el 13 de Enero del 2004, que infecta los sistemas con los archivos Sysinfo.exe y Winhlpp32.exe explotando las vulnerabilidades del DCOM RPC (Llamada Remota de Procedimientos) y el Desbordamiento de Buffer del Servicio Localizador.

De igual modo ingresa a través de su propio servidor IRC (Internet Chat Relay).

Termina los procesos de antivirus, firewalls y software de control dejando al sistema vulnerable a los virus y ataques de intrusos. Roba información del sistema y claves del Sistema Operativo y de populares juegos.

Además de enviar la información capturada y extraída de los sistemas atacados a un canal de Chat, el poseedor del Backdoor Cliente tomará el control de los mismos. Finalmente provoca ataques DoS a direcciones IP generadas aleatoriamente.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003 está desarrollado en MS Visual C++, con una extensión de 250 KB, comprimido con el utilitario UPX (Ultimate Packer for eXecutables) y encriptado con PCGuard.

Una vez ingresado el gusano se auto-copia a la carpeta %System% con los archivos de nombres Sysinfo.exe y Winhlpp32.exe. Para ejecutares la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Configuration Loader" = "%System%\Sysinfo.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Configuration Loader" = "%System%\Sysinfo.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo el troyano termina los procesos de los siguientes antivirus, firewalls o programas de monitoreo que se encuentren instalados, dejando al sistema totalmente vulnerable a los virus y ataques de intrusos:

ZONEALARM.EXE
WFINDV32.EXE
WEBSCANX.EXE
VSSTAT.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PERSFW.EXE
PCFWALLICON.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EXE
OUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE
AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE

En el caso de que el sistema atacado estuviese infectado con los siguientes virus, terminará sus procesos:

winhlpp32.exe
tftpd.exe
dllhost.exe
winppr32.exe
mspatch.exe
penis32.exe
msblast.exe

Si el gusano encuentra un sistema con algunas de las vulnerabilidades, intenta conectarse a los sistemas remotos con recursos compartidos como Administrador Oculto Compartido (ADMIN$ share), buscando inicialmente los siguientes recursos compartidos:

admin$
c$
d$
e$
print$
c

En el caso que estas carpetas tengan todos los privilegios, el gusano se auto-copia a todos los recursos compartidos de la red.

Si no logra ingresar emplea cualquier nombre de Usuario que encuentre usando la función NetUserEnum() o intenta la técnica de "Acceso de Fuerza Bruta" haciendo uso de la siguiente lista:

a
aaa
abc
admin
Administrador
Administrateur
Administrator
administrator
asdf
Convidado
Coordinatore
Default
Dell
Gast
Guest
home
Inviter
login
mgmt
Ospite
Owner
pc
qwer
Standard
temp
Test
test
User
win
x
xyz

Y las siguientes contraseñas:

Admin
password
Password
1
12
123
1234
12345
123456
1234567
12345678
123456789
654321
54321
111
000000
00000000
11111111
88888888
pass
passwd
database
abcd
oracle
sybase
123qwe
server
computer
Internet
super
123asd
ihavenopass
godblessyou
enable
xp
2002
2003
2600
0
110
111111
121212
123123
1234qwer
123abc
007
alpha
patrick
pat
administrator
root
sex
god
foobar
a
aaa
abc
test
temp
win
pc
asdf
secret
qwer
yxcv
zxcv
home
xxx
owner
login
Login
pwd
pass
lovemypc
mypass
pw

Al ingresar sin restricciones, se copia y ejecuta en los sistemas vulnerados, procediendo a infectar las estaciones y unidades de red con recursos compartidos.

Actuando como Backdoor usa su propio servidor IRC (Internet Chat Relay) y si logra ingresar a los sistemas extrae las claves del sistema operativo Windows y las claves de los siguientes juegos de PC., en caso estuviesen instalados:

Windows Product ID
Hidden and Dangerous 2
Chrome
Soldier of Fortune II
Neverwinter Nights
Nox
Tiberian Sun
Red Alert 2
Red Alert
Project IGI 2
Command & Conquer Generals
Battlefield 1942 Secret Weapons of WWII
Battlefield 1942 The Road to Rome
Battlefield 1942
Rainbow Six III RavenShield
Nascar Racing 2003
Nascar Racing 2002
NHL 2003
NHL 2002
FIFA 2003
FIFA 2002
Need For Speed Hot Pursuit 2
The Gladiators
Unreal Tournament 2003
Legends of Might and Magic
Counter-Strike
Half-Life

El hacker autor del virus toma el control del sistema infectado pudiendo ejecutar una variedad de acciones nocivas y hasta destructivas. También actúa como un Servidor Proxy y ataca directamente a otros sistemas.

Finalmente el gusano ejecuta ataques DoS y de saturación HTTP, SYN o UPD hacia direcciones generadas en forma aleatoria, intentando colapsarlas.

Revisa las sub-redes de sistemas vulnerables y envía la lista de sus correspondientes direcciones IP al hacker. Esta búsqueda se realiza a través de los puertos TCP 80 (HTTP o WWW), 135 (Edmap o DCE End Point Resolution) y el 445 (Desbordamiento de Buffer del Servicio Localizador) por la vulnerabilidad DCOM RPC (Llamada Remota de Procedimientos), el Localizador RPC y el WebDav.

El parche para la vulnerabilidad DCOM RPC puede ser descargado de:

http://www.microsoft.com/security/security_bulletins/ms03-026.asp

El parche para la vulnerabilidad DCOM RPC (desbordamiento del Buffer) puede ser descargado de:

http://www.microsoft.com/security/security_bulletins/ms03-001.asp

El parche para la vulnerabilidad WebDav puede ser descargado de:

http://www.microsoft.com/security/security_bulletins/ms03-007.asp

Los payloads de este troyano/backdoor son los siguientes:

Aprovecha las vulnerabilidad RPC de los sistemas de Microsoft.
Infecta a Windows 95/98/Me/NT/2000/XP.
Termina los procesos de la mayoría de antivirus, firewalls y programas de control y algunos del sistema.
Intenta ingresar a los servidores como Administrador haciendo uso de una lista de Nombres de Usuario y Claves de Acceso.
Se propaga a través de Redes remotas con recursos compartidos ocultos.
Captura información de la configuración del servidor y de las estaciones de trabajo.
Envía la información al hacker poseedor del Backdoor Cliente, a través del IRC.
Roba claves del sistema operativo y de CD's de populares juegos.
Descarga y ejecuta otros archivos vía el IRC.
Envía la información capturada a otros usuarios del IRC.
Agrega cuentas de usuarios.
Controla remotamente los archivos y programas de los sistemas infectados.
Ataca otros sistemas usando las vulnerabilidades RPC.
El virus se actualiza en memoria dinámica.
Genera ataques DoS y de saturación HTTP, SYN o UPD en los sistemas infectados.

PER ANTIVIRUS® versión 8.4 y 8.5 con registro de virus al 13 de Enero del 2004 detecta y elimina eficientemente este gusano/troyano/backdoor.