Troj/Bckdr.Sanjicom

IRCBOT.DCN gusano/backdoor explota vulnerabilidades de sistemas Microsoft controla vía IRC en forma remota.

W32/IRCBot.DCN

IRCBot.DCN es un gusano/backdoor reportado el 14 de Marzo del 2008 que se propaga aprovechando diversas vulnerabilidades de Microsoft. También lo hace vía un canal del IRC (Internet Chat Relay).

Infecta Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, desarrollado en Visual C++, con una extensión de 154KB y está encriptado con rutinas propias.

Al ingresar al sistema crea la carpeta wbem en el directorio %System%, luego se copia a la misma como:

%System%\wbem\rpchost.exe

Para configurar o limitar el número de conexiones concurrentes (simultáneas) modifica el siguiente archivo:

%System%\drivers\tcpip.sys

Para ejecutarse la próxima vez que se reinicie le sistema genera las siguientes llaves de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Generic Host Process for Win32 Service" = "%System%\wbem\rpchost.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Generic Host Process for Win32 Service" = "%System%\wbem\rpchost.exe"

Para afectar la estabilidad del sistema crea la llaves:

[HKEY_CURRENT_USER\Software\Microsoft\OLE]
"Generic Host Process for Win32 Service" = "%System%\wbem\rpchost.exe"
[HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa]
"Generic Host Process for Win32 Service" = "%System%\wbem\rpchost.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%System%\wbem\rpchost.exe" = "%System%\wbem\rpchost.exe:*:Enabled:Generic Host Process for Win32 Service"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo, el componente Backdoor del gusano se conecta al servidor IRC (Internet Chat Relay) help.dawnsoul.net:7654, uniéndose a un canal de chat desde el cual podrá ejcutar diversos comandos arbitrarios en forma remota en los sistemas infectados:

Descragar y ejecutar archivos con códigoa arbitarios
Extraer y Subir archivos
Borrar archivos
Listar los procesos
Activar o detener procesos

El gusano también se propaga en los archivos compartidos comunes de Internet del sistema CIFS (Common Internet File System) configurados con contraseñas débiles.

Las vulnerabilidades explotadas son:

Vulnerabilidad de la Tarea de Alamacenamiento de escalabilidad de Microsoft SQL Web Server
Saturación del buffer del DCOM RPC
Saturación del buffer del LSASS

PER ANTIVIRUS® versión X4 con registro de virus al 14 de Marzo del 2008 detecta y elimina este gusano/backdoor.