W32/Agobot.OU, Troj/Gaobot.OU

Agobot.OU es un destructivo gusano/troyano/backdoor reportado el 07 de Enero del 2005, que infecta los redes con recursos compartidos, configuradas con contraseñas débiles, con un archivo de nombre Winsrv.exe, explota además las vulnerabilidades del DCOM RPC (Llamada Remota de Procedimientos) y LSASS, reportadas en los Boletines MS04-012 y MS04-011 de Microsoft.

Termina los procesos de antivirus, firewalls y software de control dejando al sistema vulnerable a los virus y ataques de intrusos. Además de enviar la información capturada y extraída de los sistemas atacados a un canal de Chat, el poseedor del Backdoor Cliente tomará el control de los mismos.

Impide el acceso a portales de ciertos antivirus para evitar sus actualizaciones y también termina los procesos de muchos gusanos y troyanos conocidos. 

En forma remota captura las direcciones de las Libretas de Windows, MS Outlook, Outlook Express y Messenger para enviar mensajes de correo a voluntad del intruso remoto.

Es un PE (Portable Ejecutable) e infecta únicamente a Windows NT/2000/XP, incluyendo los servidores NT/2000, está programado en Visual C++ y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

Una vez ingresado el gusano copia a la carpeta %System% el archivo de nombre Winsrv.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"smcserv" = %System%\winsrv.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] 
"smcserv" = %System%\winsrv.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo el troyano termina los procesos de la mayoría de antivirus, firewalls o programas de monitoreo que se encuentren instalados, dejando al sistema totalmente vulnerable a los virus y ataques de intrusos.

El gusano modifica el archivo HOSTS, ubicado en las carpetas de Windows y Winnt\System32\drivers\etc\, respectivamente y bloquea el acceso a diversos sitios web relacionados a software antivirus, para evitar sus actualizaciones.

Su componente Backdoor se ejecuta permanentemente en segundo plano (background) para permitir el acceso no autorizado a las redes con recursos compartidos.

Tiene la capacidad de agregar o borrar los recursos ADMIN$, C$, D$ e IPC$.

Al ingresar sin restricciones, se copia y ejecuta en los sistemas vulnerados, procediendo a infectar las estaciones y unidades de red con recursos compartidos.

Actuando como Backdoor si logra ingresar a los sistemas puede ejecutar las siguientes acciones:

• Ejecutar ataques de Negación de Servicios (DoS).
• Redireccionar el tráfico GRE, TCP, HTTP, HTTPS, SOCKS4 y SOCKS5.
• Descargar, enviar, borrar y ejecutar archivos.
• Configurar un servidor FTP de archivos.
• Robar contraseñas incluyendo la información de las cuentas de PayPal.
• Listas y eliminar procesos.
• Detener, pausar o borrar servicios.
• Modificar registros.
• Abrir y cerrar vulnerabilidades.
• Aprovechas vulnerabilidades de puertos abiertos y sistemas remotos.
• Saturar el Cache de los DNS.
• Capturar la digitación de teclas.
• Apagar o re-iniciar los equipos.
• Agregar o borrar recursos compartidos de red, usuarios y grupos de usuarios.
• Activar un Sniffer (capturador de información vía TCP)
• Robar direcciones de correo de los sistemas infectados.
• Enviar mensajes de correo a voluntad del intruso remoto.

El Backdoor extrae las claves del sistema operativo Windows, AOL y de los siguientes juegos de PC., en caso estuviesen instalados:

• AOL Instant Messenger
• Battlefield 1942
• Battlefield 1942: Secret Weapons of WWII
• Battlefield 1942: The Road To Rome
• Battlefield 1942: Vietnam
• Black and White
• Call of Duty
• Command and Conquer: Generals
• Command and Conquer: Generals: Zero Hour
• Command and Conquer: Red Alert 2
• Command and Conquer: Tiberian Sun
• Counter-Strike
• FIFA 2002
• FIFA 2003
• Freedom Force
• Global Operations
• Gunman Chronicles
• Half-Life
• Hidden and Dangerous 2
• IGI2: Covert Strike
• Industry Giant 2
• James Bond 007: Nightfire
• Medal of Honor: Allied Assault
• Medal of Honor: Allied Assault: Breakthrough
• Medal of Honor: Allied Assault: Spearhead
• Nascar Racing 2002
• Nascar Racing 2003
• Need For Speed: Hot Pursuit 2
• Need For Speed: Underground
• Neverwinter Nights
• NHL 2002
• NHL 2003
• Rainbow Six III RavenShield
• Shogun: Total War: Warlord Edition
• Soldiers Of Anarchy
• Soldier Of Fortune 2 - Double Helix
• The Gladiators
• Unreal Tournament 2003
• Unreal Tournament 2004

Luego el troyano verifica el ancho de banda intentado saturar de información con los comandos GET o POST a los siguientes URL:

• yahoo.co.jp
• www.nifty.com
• www.d1asia.com
• www.st.lib.keio.ac.jp
• www.lib.nthu.edu.tw
• www.above.net
• www.level3.com
• nitro.ucsc.edu
• www.burst.net
• www.cogentco.com
• www.rit.edu
• www.nocster.com
• www.verio.com
• www.stanford.edu
• www.xo.net
• de.yahoo.com
• www.belwue.de
• www.switch.ch
• www.1und1.de
• verio.fr
• www.utwente.nl
• www.schlund.net

Para habilitar o deshabilitar el DCOM crea la siguiente llave:

[HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM]

El parche para la vulnerabilidad DCOM RPC puede ser descargado de:

http://www.microsoft.com/technet/security/bulletin/ms04-012.mspx

El parche para la vulnerabilidad LSASS puede ser descargado de:

http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

PER ANTIVIRUS® versión 9.0 con registro de virus al 07 de Enero del 2005 detecta y elimina eficientemente este gusano/troyano/backdoor.