Agobot.RW

AGOBOT.RW, destructivo gusano/troyano/backdoor explota vulnerabilidad RPC ocasiona múltiples estragos.

W32/Agobot.RW, Troj/Gaobot.RW

Agobot.RW es un gusano/troyano/backdoor reportado el 04 de Febrero del 2004, que explota las vulnerabilidades del DCOM RPC (Llamada Remota de Procedimientos) y el Desbordamiento de Buffer del Servicio Localizador, infectando a través de Telnet y el IRC (Internet Chat Relay), con un archivo de nombre Winrw32.exe de 200 KB de extensión.

Además de enviar la información capturada y extraída de los sistemas atacados, el poseedor del Backdoor Cliente tomará el control de los mismos. Termina los procesos de antivirus, firewalls, software de monitoreo y ocasiona ataques DoS a servidores SMTP e IP aleatorias.

Se propaga en carpetas y sub-carpetas de servidores y unidades de disco con recursos compartidos ocultos (IPC$) que emplean el protocolo SMB (Server Message Block).

Es un PE (Portable Ejecutable) e infecta a Windows NT/2000/XP, incluyendo los servidores NT/2000, está programado en Visual C++, con una extensión de 200 KB y comprimido con el utilitario PECompact:

http://www.collakesoftware.com/pecompact.htm

Una vez ingresado el gusano se auto-copia a la carpeta %System% como Winrw32.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Winrw32" = "%System%\winrw32.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Winrw32" = "%System%\winrw32.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Una vez activado, el gusano termina los procesos de los siguientes antivirus, firewalls o programas de monitoreo que se encuentren instalados, dejando al sistema totalmente vulnerable a los virus y ataques de intrusos:

_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEANER.EXE
CLEANER3.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
ESAFE.EXE
ESPWATCH.EXE
F-AGNT95.EXE
FINDVIRU.EXE
FPROT.EXE
F-PROT.EXE
F-PROT95.EXE
FP-WIN.EXE
FRW.EXE
F-STOPW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
JEDI.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCANW.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VET95.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE

Del mismo modo termina los siguientes procesos que se encuentren en ejecución:

DLLHOST.EXE
MSBLAST.EXE
MSPATCH.EXE
PENIS32.EXE
TFTPD.EXE
WINHLPP32.EXE
WINPPR32.EXE

Actuando como Troyano, para propagarse a través de las Redes explota las vulnerabilidades del RPC DCOM (Llamada Remota de Procedimientos) y el WebDav. Envía paquetes a través del puerto TCP 135.

Con el Desbordamiento de Buffer del Servicio Localizador envía paquetes a través del puerto TCP 445.

El parche para la vulnerabilidad DCOM RPC puede ser descargado de:

http://www.microsoft.com/security/security_bulletins/ms03-026.asp

El parche para la vulnerabilidad Desbordamiento de Buffer del Servicio Localizador puede ser descargado de:

http://www.microsoft.com/security/security_bulletins/ms03-001.asp

Si encuentra un sistema vulnerable se copia y ejecuta en memoria en los sistemas que infecta. También busca los recursos compartidos de las redes:

admin$
print$

En caso que estas carpetas tengan todos los privilegios, el gusano se copia a todas las unidades de red con recursos compartidos. Y en el caso de que no los tuvieren, intenta conectarse a los equipos remotos como Administrador Compartido (ADMIN$ share), haciendo uso de una larga lista de de nombres de usuarios y contraseñas contenidas dentro del código del virus.

Actuando como Backdoor usa su propio motor IRC (Internet Chat Relay) y se conecta a través del puerto TCP 6667 al servidor bites.synxnet.org uniéndose al canal de Chat #!!-fast con la contraseña "power" y desde el cual establece un control remoto de los sistemas atacados, pudiendo ejecutar los siguientes comandos:

Borra, comparte o deshabilita el DCOM.
Verifica si la carga del gusano dura más de 7 días.
Extrae, imprime y envía la información del sistema.
Abre o ejecuta archivos.
Resuelve los IP y DNS de los servidores.
Lista todos los comandos disponibles.
Borra o agrega servicios.
Envía mensajes privados al servidor IRC.
Ejecuta o descarga archivos de un servidor FTP o desde un sitio en la web vía HTTP
Lista los procesos y cancela aquellos en ejecución.
Busca y rompe contraseñas débiles de los NetBIOS.
Apaga o reinicia el sistema.

Ejecuta además los siguientes re-direccionamientos:

HTTP Proxy
GRE
Puertos TCP

También roba el ID de producto de Windows y las llaves de CD de los populares juegos de PC:

Battlefield 1942
Battlefield 1942 Secret Weapons of WWII
Battlefield 1942 The Road to Rome
Chrome
Command & Conquer Generals
Counter-Strike
FIFA 2002
FIFA 2003
Half-Life
Hidden and Dangerous 2
LoMaM
Nascar Racing 2002
Nascar Racing 2003
Need For Speed Hot Pursuit 2
Neverwinter
NHL 2002
NHL 2003
NOX
Project IGI 2
Red Alert
Red Alert 2
Soldier of Fortune II - Double Helix
The Gladiators
Tiberian Sun
Unreal Tournament 2003

El gusano ejecuta ataques DoS por saturación HTTP, SYN, PING o UPD hacia direcciones generadas en forma aleatoria, intentando colapsarlas.

Asimismo intenta conectarse a los siguientes servidores de Correo SMTP (Simple Mail Transfer Protocol):

mailin-01.mx.aol.com
mailin-02.mx.aol.com
mailin-03.mx.aol.com
mailin-04.mx.aol.com

Una vez establecida la conexión el gusano ejecuta el comando QUIT para ejecutar un ataque DoS a estos servidores.

Los payloads de este troyano/backdoor son los siguientes:

Aprovecha las vulnerabilidades RPC DCOM, el WebDav y el Desbordamiento de Buffer del Servicio Localizador.
Infecta únicamente a Windows NT/2000/XP.
Termina los procesos de antivirus, firewall y software de monitoreo.
Termina otros procesos en el sistema que se encuentren en ejecución.
Intenta ingresar a los servidores como Administrador haciendo uso de una lista de Nombres de Usuario y Claves de Acceso.
Se propaga a través de Redes remotas con recursos compartidos ocultos.
Captura información de la configuración del servidor y de las estaciones de trabajo.
Envía la información al hacker poseedor del Backdoor Cliente, haciendo uso de su propio motor IRC.
Descarga y ejecuta otros archivos vía FTP o HTTP.
Controla remotamente los archivos y programas de los sistemas infectados.
Ataca otros sistemas usando las vulnerabilidades RPC.
Actualiza el archivo infectado vía FTP o HTTP.
Roba el ID de producto del sistema operativo Windows y las llaves de CD de populares juegos de PC.
Intenta conectarse a servidores SMTP y si lo logra los satura con ataque DoS.
Ocasiona ataques DoS por saturación HTTP, SYN, PING o UPD a IP aleatorias.

PER ANTIVIRUS® versión 8.5 con registro de virus al 04 de Febrero del 2004 detecta y elimina eficientemente este gusano/troyano/backdoor.