|
|
Breplibot.D es un destructivo gusano/backdoor residente en memoria, reportado el 11 de Noviembre del 2005 de propagación masiva a través de un mensaje de
Correo, que usa la técnica Spoofing para el Remitente, con un formato definido y uno de dos archivos anexados.
Es la versión corregida de anteriores variantes propagadas en un mismo día que tenían errores en su codificación (bugs). |
Usa la tecnología Extendida de Protección de Copias (XCP) creada por First 4 Internet Ltd. empleada para proteger CDs de audio y formatos DVD para la corporación Sony BMG Music Entertainment.
El denominado software DRM (Digital Rights Management) oculta:
El gusano deshabilita cualquier firewall que estuviese instalado en el sistema infectado para impedir la ejecución de su componente Backdoor.
Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y Server 2003 está desarrollado en Visual C++, con una extensión de 10 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Usa su propio motor SMTP (Simple Mail Transfer Protocol) y se envía a la Libreta de Direcciones de Windows (WAB) o las extraídas del sistema.
El mensaje tiene la siguiente característica:
Remitente: TotalBusinessAsunto: Requesting Photo Approval
Contenido:
|
Hello, Your photograph was forwarded to us as part of an article we are publishing for our December edition of Total Business Monthly. Can you check over the format and get back to us with your approval or any changes? If the picture is not to your liking then please send a preferred one. We have attached the photo with the article here. Kind regards, Jamie Andrews Editor www.TotalBusiness.co.uk ********************************************** The Professional Development Institute ********************************************** |
Anexado, uno de los siguientes:
Al activarse crea los Mutex SonyEnabled y $Sys$xp.exe para evitar infectar un sistema más de una vez.
Luego se se copia a la carpeta %System% como $Sys$xp.exe y para ejecutarse la próxima vez modifica las llaves:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"$sys$cmp" = "%System%\$sys$xp.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"$sys$cmp" = "%System%\$sys$xp.exe"
Nota: los archivos con la cadena $sys$ se ocultan de la lista de archivos y procesos en ejecución haciendo uso del software Digital Rights Management (DRM) que usa una tecnología rootkit para proteger el copiado ilegal de CD's y DVDs.
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al siguiente inicio del equipo, el gusano activa su rutina de envío masivo de mensajes.
Para impedir el bloqueo de su componente Backdoor, el gusano deshabilita la configuración del firewall, con el siguiente comando:
netsh firewall set allowed program [ruta_del_gusano] enable
El comando Netsh es un script utilitario que permite en forma local o remota se pueda mostrar o modificar la configuración de una computadora dentro de la red.
Actuando como Backdoor usa el puerto TCP 8080 o el protocolo HTTP y se conecta a cualquiera de los servidores IRC (Internet Chat Relay):
se une al canal #cell, desde donde recibirá instrucciones y ejecutará las siguientes acciones:
Para remover el software DRM se requiere solicitar una desintalación a su Centro de Soporte:
http://cp.sonybmg.com/xcp/english/form14.html
asimismo la Sony BGM ha liberado una actualización que deshabilita las rutinas de ocultamiento, que pueden ser descargadas desde:
http://cp.sonybmg.com/xcp/english/updates.html
PER ANTIVIRUS® versión 9.5 con registro de virus al 11 de Noviembre del 2005 detecta y elimina este gusano/backdoor, sin embargo en caso de no contar con la vacuna activada y de producirse la infección se requerirá remover las rutinas ocultas siguiendo los procedimientos expuestos.
