IRCbot.YW troyano/backdoor de IRC desestabiliza sistema deshabilita Firewall de Windows, Messenger, etc. 

© Jorge Machado  Lima-Perú

Troj/IRCbot.YW

IRCbot.YW es un troyano reportado el 05 de Noviembre del 2007, que se propaga a través del diversos servicios de Internet.

El gusano se ejecuta contínuamente en segundo plano, mientras activa su Backdoor que se conectará a un servidor del IRC (Internet Chat Relay) con un BOT que ejecutará acciones arbitrarias en forma automática y remota. 

Desestabiliza la seguridad del sistema inhabilitando servicios, programas y funciones.

Infecta a Windows 98/NT/2000/XP/Vista y Server 2003, está desarrollado en MS Visual C++ con una extensión de 72KB y comprimido con el utilitario ASProtect.

Una vez ingresado, el gusano se copia al directorio %System% como svshost.exe y este archivo es registrado como un nuevo driver de servicio del sistema con el nombre de "Remote Win32 Services" con atributo de inicio automático y que muestra el mismo nombre en la sub-llave:

[HKLM\SYSTEM\CurrentControlSet\Services\Remote Win32 Services]

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo, para impedir la ejecución automática de otros programas, crea las sub-llaves:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Messenger]
Start = 4

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteRegistry]
Start = 4

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TlntSvr]
Start = 4

Para deshabilitar el Firewall de Windows crea las sub-llaves:

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile]
EnableFirewall = 0

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\StandardProfile]
EnableFirewall = 0

Para inhabilitar las Actualizaciones de Windows:

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
DoNotAllowXPSP2 = 1

Para deshabilitar el DCOM crea la sub-llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
EnableDCOM = N

La sub-llaves son generadas bajo la siguiente llave de registro:

[HKLM\SOFTWARE\Microsoft\Security Center]

Como Backdoor se conecta a través de un puerto TCP aleatorio a un servidor IRC (Internet Chat Relay) y une a un canal de Chat cifrado el cual contiene un BOT desde el que recibirá instrucciones pudiendo ejecutar acciones arbitrarias en forma remota, tales como:

PER ANTIVIRUS® versión 10.3 con registro de virus al 05 de Noviembre del 2007 detecta y elimina este troyano. 

Ir al menú anterior

Regresar al Portal de PER SYSTEMS