Kassbot.P

KASSBOT.P troyano/backdoor de redes compartidas IRC AOL explota vulnerabilidades desestabiliza el sistema, etc.

W32/Kassbot.P, Kassbot.P/IRC

Kassbot.P es un destructivo troyano/backdoor reportado el 16 de Mayo del 2006, que se propaga a través de redes con recursos compartidos configuradas con contraseñas débiles, infectándolas con el archivo Win32dll.exe.

Explota las vulnerabilidades LSASS, RPC, servicios de Workstation, Plug and Play y la Librería ASN.1 (Abstract Syntax Notation One)

Se propaga también a través de la lista de usuarios de AOL Instant Messenger.

Deshabilita antivirus, modifica la información en el sistema, impide el ingreso de usuarios autorizados, ejcuta ataques DoS de Negación de Servicios, roba información y la envía al intruso a través de un canal cifrado del IRC (Internet Chat Relay).

Modifica el archivo HOSTS para impedir el acceso a una extensa lista de sitios web de antivirus, firewalls y software de control.

Es un PE (Portable Ejecutable) e infecta Windows 98/Me/2000/XP y Server 2003

Una vez ingresado a un sistema se auto-copia a la carpeta %Windir% con el nombre de Win32dll.exe y se registra como un nuevo servicio del sistema con el nombre de winconfig.exe, para activarse automáticamente al re-inicio del sistema haciendo uso de la llave de registro:

[HKLM\SYSTEM\CurrentControlSet\Services\winconfig.exe]

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Para deshabilitar otro programas al inicio del sistema genera las siguientes llaves:

MS Messenger:

[HKLM\SYSTEM\CurrentControlSet\Services\Messenger]
Start = 4

Registro Remoto para impedir la actualización de parches:

[HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry]
Start = 4

Para desestabilizar el sistema y la aplicación Telnet emuladora del servicio TCP/IP de redes:

[HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr]
Start = 4

Para impedir las actualizaciones en Windows XP SP2:

[HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
DoNotAllowXPSP2 = 1

Para deshabilitar el DCOM:

[HKLM\SOFTWARE\Microsoft\Ole]
EnableDCOM = N

Para limitar el acceso de usuarios autorizados:

[HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
restrictanonymous = 1

crea además entradas en las siguientes llaves:

[HKLM\SOFTWARE\Microsoft\Security Center]
[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]

al siguiente inicio del equipo termina los procesos en ejecución de la mayoría de antivirus, firewalls y software de control que estuviesen instalados en los sistemas infectados.

Luego se conecta a un canal del IRC desde donde recibirá instrucciones del intruso, pudiendo ejecutar entre otras las siguientes acciones:

Descargar y ejecutar archivos con códigos malignos.
Ejecutar ataques DoS de Negación de Servicios.
Descargar copias actualizadas del propio gusano.
Capturar teclas digitadas.
Ejecutar rastreo de puertos TCP y UDP con vulnerabilidades.

El gusano modifica el archivo HOSTS para impedir el acceso a una extensa lista de direcciones web relacionadas a antivirus, firewalls y algunas entidades bancarias.

La información y parches para las vulnerabilidades afectadas pueden ser descargados desde:

PER ANTIVIRUS® versiones 9.7 con registro de virus al 16 de Mayo del 2006 detecta y elimina este troyano/backdoor.