CUEBOT.M troyano explota vulnerabilidad del Servicio de Servidor como muestra de anunciada avalancha de ataques. 

© Jorge Machado  Lima-Perú

W32/Cuebot.M

Cuebot.M es un destructivo troyano/gusano/backdoor reportado el 14 de Agosto del 2006, que explota la vulnerabilidad del Servicio de Servidor detallado en el Boletín MS06-040 y es una de las tantas especies virales anunciadas en diversas páginas especializadas sobre seguridad, como el posible mayor ataque de gusanos, troyanos y backdoors, de los últimos tiempos, a causa de la distribución gratuita de esquemas de codificación en diversas web "underground".     

La Unidad de Respuesta de Seguridad de Microsoft está preparándose para lo peor, después que más de un modelo de código "exploit" para esta vulnerabilidad empezó a circular en Internet desde el 10 de Agosto del 2006, apenas dos días después que Microsoft emitiese 12 Boletines de Seguridad, 11 de ellos considerados "críticos" o graves.

Antes de la emisión del mencionado parche, el US-CERT (Computer Emergency Readiness Team) advirtió que esta falla iba a ser usada en ataques masivos y que la aparición de exploits públicos era una señal segura de un inminente ataque de gusanos.

Un módulo de exploit fue agregado al esquema del Metasploit de HD Moore, tal como lo anuncia la revista digital eWeek:

http://www.eweek.com/article2/0,1895,2002142,00.asp

http://www.metasploit.com

Con relación al gusano Cuebot.M, se ejecuta continuamente en segundo plano y se propaga además por el servicio de mensajería instantánea de AOL (America On Line), pudiendo hacerlos por otros medios, incluso el IRC (Internet Chat Relay)

Infecta a Windows 95/98/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++ con extensión variable y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Activa un BOT de IRC (Internet Chat Relay) y ejecuta diversas acciones en forma remota y desestabiliza el sistema. 

Una vez ingresado al sistema se copia a la carpeta %System% con el nombre de Wgavm.exe y se registra como un nuevo driver de servicio del sistema con el nombre de "wgavm", el cual muestra la frase "Windows Genuine Advantage Validation Monitor" y permite que su ejecución sea  realizada en forma automática conjuntamente con el re-inicio del sistema. 

Los valores de sus llaves de registro son creados bajo:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wgavm] 

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo configura la siguiente llave para deshabilitar la ejecución automática de otros programas:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess]
Start = 4

Deshabilitando el servicio de Acceso Compartido deshabilita la conexión del Firewall a Internet.

para deshabilitar el protocolo DCOM crea la sub-llave: 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM" = "N"

para restringir el acceso a conexiones anónimas modifica la sub-llave: 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Restrictanonymous" = "1"

Para desestabilizar la seguridad y funcionamiento del sistema crea además entradas a las siguientes llaves: 

[HKLM\SOFTWARE\Microsoft\security center]
[HKLM\SOFTWARE\Policies\Microsoft\windowsfirewall\domainprofile]
[HKLM\SOFTWARE\Policies\Microsoft\windowsfirewall\standardprofile] 
Se propaga en los sistemas con la vulnerabilidad de Servicio de Servidor cuyo parche pueden ser descargado desde:

PER ANTIVIRUS® versión 9.8 con registro de virus al 14 de Agosto del 2006 detecta y elimina este troyano/gusano/backdoor. 

Ir al menú anterior

Regresar al Portal de PER SYSTEMS