|
CIREBOT, destructivo troyano/backdoor, explota vulnerabilidad RPC, toma control
de los sistemas
atacados.
|
|
©
Jorge Machado Lima-Perú
|
|
Troj/Cirebot,
Troj/Autorooter, Dowloader-DM, RPC Worm,
 |
|
Cirebot
es un
peligroso y complejo y destructivo troyano/backdoor
reportado el 03 de
Agosto del 2003, que aprovechando la vulnerabilidad del DCOM
RPC
(Llamada Remota de Procedimientos), infecta
los sistemas con el archivo worm.exe
(dropper)
de 111 KB de extensión, a través del puerto 57005
y envía instrucciones vía el IRC
(Internet Chat Relay) y el ICQ.
Una vez
ingresado a un sistema, el hacker poseedor del software
Cliente tomará el control remoto del sistema infectado, robando
información y ejecutando una variedad de acciones y estragos.
|
La vulnerabilidad RPC
(Remote Procedure Call) fue reportada por el grupo de
investigadores de origen polaco denominado The
Last Stage of Delirium, quienes han descubierto gran
parte de las últimas fallas de Windows e Internet Explorer.
Sus fundadores son cuatro graduados en Computer Science de
la Poznan University of Technology
(Polonia).
Este troyano es un PE (Portable
Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000/Server
2003
Cuando worm.exe
se auto-ejecuta libera y copia al directorio raíz los siguientes
componentes:
- C:\rpc.exe (40 KB es el comando ejecutor
del troyano)
- C:\rpctest.exe (92 KB, el archivo que
explota la vulnerabilidad RCP)
- C:\tftpd.exe (140 KB, el servidor FTP que
se conecta por el puerto TCP 69)
El rpc.exe ejecuta el archivo tftpd.exe,
que es un servidor FTP el cual descarga el software backdoor
e intenta establecer una conexión con un combinación de direcciones IP
aleatorias a través del puerto 445 (microsoft-ds) bajo tres modalidades
de rangos:
1. Empezando con uno de los siguientes:
4, 12, 24, 64, 65, 68, 128,165, 208, 211, 213,217,218, 220.
2. Seguido de un número aleatorio de 0 al 255.
3. Cualquier número aleatorio.
Por ejemplo si es elegido el número 4, en
primera instancia y luego el 62, el troyano tratará de conectarse a las
siguientes direcciones IP:
4.62.0.1
4.62.0.2
4.62.0.3
4.62.0.4
4.62.0.3
4.62.0.254
4.62.0.255
4.62.1.1
4.62.1.2
Etc...
Si logra conectarse, el troyano activa el
archivo rpctest.exe para abrir un
comando de ejecución remota del sistema con instrucciones para descargar el
backdoor lolx.exe o dcomx.exe
de 26 KB, haciendo uso del archivo servidor FTP tftpd.exe.
El backdoor ha sido generado por el SDBOT, creado por el hacker [sd].
Además de enviar la información capturada
y extraída de los sistemas atacados, el poseedor del Backdoor
Cliente tomará el control de los mismos.
El parche para la vulnerabilidad DCOM
RPC puede ser descargado de:
http://www.microsoft.com/security/security_bulletins/ms03-026.asp
Los payloads
de este troyano/backdoor son los siguientes:
- Aprovecha la vulnerabilidad RPC de MS.
- Envía la información al hacker a través
del ICQ
- También puede enviar comandos a través del
Chat.
- Captura información de la configuración
del servidor y de las estaciones de trabajo.
- Captura teclas digitadas por el usuario.
- Roba claves de acceso y números de
tarjetas de crédito.
- Descarga y ejecuta otros archivos.
- Termina procesos en ejecución.
- Puede bloquear el sistema borrando los
recursos compartidos en una red local.
- Controla remotamente los archivos
y programas de los sistemas infectados.
- Ataca otros sistemas usando varias
vulnerabilidades.
- Borra archivos y formatea el disco duro.
PER ANTIVIRUS®
versión 8.2 con registro de virus al 03 de
Agosto
del 2003 detecta y elimina eficientemente este troyano/backdoor.
