Gangbot

GANGBOT gusano/backdoor de servidores SQL Mensajería Instantánea HTTP FTP explota vulnerabilidades.

W32/Gangbot

Gangbot es un gusano/backdoor reportado el 23 de Enero del 2007, que se propaga a través de servidores SQL configurados con contraseñas débiles, enviando un enlace HTTP a los usuarios de servicios de Mensajería Instantánea, con un archivo infectado.

Aprovecha las vulnerabilidades del desbordamiento del buffer del Vector Markup Language de Microsoft, descrita en el Boletín MS06-055 y la Autenticación Remota del RealVNC, reportada por CVE (CVE-2006-2369).

Se conecta a un servidor IRC (Internet Chat Relay) y actúa como un Bot que ejecutará comandos y acciones malignas en forma remota.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/Me/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++, con 124 KB de extensión.

Al activarse se copia con el nombre de Seagatecom.exe a la ruta:

%System%\dllcache\seagatecom.exe

y para ejecutarse la próxima vez que se re-inicie el sistema, crea la llave:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Seagate Communication]
"imagePath" = "%System%\dllcache\seagatecom.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo crea un servicio con las características:

Service Name: SeagateCommunications
Display Name: Seagate Communications
Image Path: C:\windows\system32\dllcache\seagatecom.exe
Type: Automatic

Extrae contraseñas de páginas web, servidores FTP y los servicios de Mensajería Intantánea:

AOL Instant Messenger
ICQ Messenger
MSN Messenger
Yahoo! Messenger

También se propaga al activar un servidor HTTP y un FTP en puertos TCP aleatorios.

Termina los procesos que tengan las siguientes cadenas:

Ad-aware
anti
avg
avp
blackice
f-pro
firewall
hijack
kav
lockdown
mcafee
nod32
norton
proc
reged
spybot
spyware
troja
viru
vsmon
zonea

Rastrea los servidores SQL configurados con contraseñas débiles e intenta ingresar usando una lista de usuarios y contraseñas:

000
0000
00000
000000
0000000
00000000
123
1234
12345
123456
1234567
12345678
123456789
abc
abc123
access
adm
alpha
anon
anonymous
backdoor
backup
beta
bin
coffee
computer
crew
database
debug
default
demo
free
go
guest
hello
install
internet
login
mail
manager
money
monitor
network
new
newpass
nick
nobody
nopass
one
oracle
pass
passwd
password
poiuytre
private
pub
public
qwerty
random
real
remote
ruler
secret
secure
security
setup
shadow
shit
sql
super
sys
system
telnet
temp
test
test1
test2
visitor
web
windows
www

Para información sobre las mencionadas vulnerabilidades visiste estos enlaces:

Actuando como Backdoor se conecta a través de puertos TCP que se encuentren abiertos, al servidor IRC cs3cilmis.secilmisler.com, desde el que activará un BOT que podrá ejecutar entre otras, las siguientes acciones:

Capturar información del sistema, redes, estaciones y unidades de disco.
Descargar y ejecutar archivos con códigos malignos.
Capturar teclas digitadas.
Operar el Bot uniéndose a otros canales de Chat.
Ejecutar comandos básicos de IRC.
Rastrear puertos TCP.
Saturar el Cache del DNS.
Abrir un comando remoto oculto.

PER ANTIVIRUS® versiones 9.9 y 10.0 con registro de virus al 23 de Enero del 2007 detecta y elimina eficientemente este gusano/backdoor.