Donk.B

DONK.B, destructivo troyano/backdoor explota vulnerabilidad RPC infecta vía puerto TCP y Chat.

W32/Donk.B, Troj/Backdoor/Donk.B, W32/Windrome

Donk.B es un troyano/backdoor reportado el 09 de Octubre del 2003, que explota las vulnerabilidades del DCOM RPC (Llamada Remota de Procedimientos) y el Desbordamiento de Buffer del Servicio Localizador, e ingresa por el puerto TCP 135.

Se propaga en Redes con recursos compartidos y estaciones de trabajo con contraseñas débiles, con un archivo Wnetlib.exe que actuando como "dropper" libera otros archivos.

Actuando como Backdoor envía o recibe instrucciones vía un pre-determinado canal IRC (Internet Chat Relay).

Además de enviar la información capturada y extraída de los sistemas atacados, el poseedor del Backdoor Cliente tomará el control de los mismos.

Se propaga en carpetas y sub-carpetas de servidores y unidades de disco con recursos compartidos ocultos (IPC$) que emplean el protocolo SMB (Server Message Block).

Es un PE (Portable Ejecutable) e infecta únicamente a Windows NT/2000/XP, incluyendo los servidores NT/2000, está programado en Visual C++, con una extensión de 77 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

La muestra obtenida fue enviada desde España (+2 GMT)

Una vez ingresado el gusano se libera y se auto-copia al directorio %Windir% con los siguientes nombres:

Wnetlib.exe
Cool.exe

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Para ejecutares la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft System Checkup" = "Wnetlib.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NT Logging Service" = "syslog32.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Microsoft System Checkup" = "wnetlib.exe"

Al siguiente reinicio, el troyano se activa e intenta conectarse a Redes con recursos compartidos y estaciones de trabajo configurados con contraseñas débiles. En caso de lograrlo, el troyano libera una copia de sí mismo en las carpetas de Inicio de de los sistemas:

\WINNT\Profiles\All Users\Start Menu\Programs\Startup
\Windows\Start Menu\Programs\Startup
\Documents and Settings\All Users\Start Menu\Programs\Startup

El troyano se conecta a servidores remotos, infecta servidores y unidades de red, envía o recibe instrucciones vía un pre-determinado canal IRC (Internet Chat Relay).

El parche para la vulnerabilidad DCOM RPC puede ser descargado de:

http://www.microsoft.com/security/security_bulletins/ms03-026.asp

Dentro de su código viral se lee la siguiente cadena de texto:

Windrone 6.2 recript by [p|tagora]

Los payloads de este troyano/backdoor son los siguientes:

Aprovecha la vulnerabilidad RPC de los sistemas operativos de Microsoft.
Una vez ejecutado el archivo, libera dos componentes.
Infecta únicamente a Windows NT/2000/XP.
Intenta ingresar a los servidores y estaciones de trabajo configurados con Claves de Acceso débiles.
Se propaga a través de Redes remotas con recursos compartidos ocultos.
Captura información del hardware y sistema operativo del servidor y de las estaciones de trabajo.
Descarga una copia del troyano hacia otros sistemas a los cuales logra vulnerar.
Se conecta a una dirección de la web que se encuentra cifrada dentro del código del virus.
Envía la información al hacker poseedor del Backdoor Cliente, vía el IRC.
Ejecuta archivos y programas en forma remota.
Ataca otros sistemas usando las vulnerabilidades RPC.
Borra archivos y formatea el disco duro.

PER ANTIVIRUS® versión 8.3 con registro de virus al 09 de Octubre del 2003 detecta y elimina eficientemente este troyano/backdoor.

Nota: existe una diferencia de 7 horas entre Perú (-5 GMT) y España (+2 GMT)