Agobot-AIX

AGOBOT.AIX destructivo gusano/backdoor de redes compartidas IRC y vulnerabilidades bloquea accesos a IP's, etc.

W32/Agobot.AIX

Agobot.AIX es es un destructivo gusano/backdoor reportado el 27 de Julio del 2007, que se propaga a través de redes con recursos compartidos configuradas con contraseñas débiles y explota las vulnerabilidades LSASS (MS04-011), el RPC-DCOM (MS04-012), proceso de la Librería ASN.1 (MS04-007), la del Servicio de Servidor (MS06-040), RealVNC (CVE-2006-2369) y Symantec (SYM06-010)

Su componente Backdoor se ejecuta permanentemente en segundo plano (background) para permitir el acceso no autorizado a los intrusos.

Modifica el archivo HOSTS para impedir el acceso a portales de ciertos antivirus para evitar sus actualizaciones.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está programado en Visual C++ y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Una vez ingresado el gusano se copia a la carpeta %System% con el nombre winins.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Default"= "%System\winins.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Default"= "%System\winins.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo el gusano rastrea en forma aletoria direcciones IP de redes de recursos compartidos, configuradas con contarseñas débiles, para intentar ingresar como "admin$", usando una extensa lista de nombres de usuarios y passwords.

También rastrea redes con vulnerabilidades LSASS (MS04-011), el RPC-DCOM (MS04-012), el proceso de la Librería ASN.1 (MS04-007), la del Servicio de Servidor (MS06-040), RealVNC (CVE-2006-2369) y Symantec (SYM06-010).

Luego se conecta a un canal de Chat pre-determinado desde donde recibirá instrucciones de intrusos tales como:

Descargar y ejecutar archivos.
Ejecutar re-direccionamiento de puertos.
Activar un servidor Proxy.
Activar un servidor FTP
Capturar teclas digitadas.
Agregar o borrar redes locales compartidas

Manipulando el archivo HOSTS bloquea el acceso a diversos sitios web relacionados a software antivirus, anteponíendoles el valos 127.0.0.1 para impedir sus actualizaciones:

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads5.kaspersky-labs.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.kaspersky-labs.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com

La información y/o parches para las vulnerabilidades descritas están contenidas en los siguientes enlaces:

PER ANTIVIRUS® versiones 10.10 y 10.2 con registro de virus al 27 de Julio del 2007 detectan y eliminan eficientemente este gusano/backdoor.